La majorité des fonds volés à Kelp DAO passés par THORChain

L'auteur de l'attaque contre Kelp DAO a entrepris de blanchir presque la totalité des ETH volés, ne laissant accessibles que les fonds gelés.

Selon l'analyste blockchain EmberCN, l'attaquant a acheminé environ 75,700 ETH via le protocole de liquidité cross-chain THORChain, convertissant les actifs en Bitcoin et générant environ $910,000 de frais pour la plateforme. 

L'attaquant a commencé à déplacer les fonds plus tôt cette semaine, les répartissant entre des portefeuilles nouvellement créés avant de les faire transiter par THORChain et l'outil de confidentialité Umbra.

Les données d'Arkham montrent que le portefeuille principal de l'attaquant a désormais été en grande partie vidé. 

Les flux de transactions indiquent une tentative claire de sortir des positions plutôt que de conserver les produits, Arkham notant que « les attaquants exécutent une stratégie de sortie plutôt que de conserver les produits ».

Les mouvements via THORChain ont rendu la piste plus difficile à suivre, réduisant les chances de récupération des fonds.

Au moment de la publication, seule une partie des actifs volés reste contenue. 

Le Security Council d'Arbitrum a gelé 30,766 ETH liés à l'exploit et les a transférés dans un portefeuille intermédiaire, où ils ne peuvent être accessibles qu'après approbation de la gouvernance. 

Le réseau a indiqué que l'intervention avait été effectuée sans perturber les opérations, ajoutant qu'il avait agi « avec l'apport des forces de l'ordre concernant l'identité de l'exploiteur » tout en donnant la priorité à l'intégrité de l'écosystème.

Le blanchiment des fonds réduit la fenêtre de récupération

Cinq jours plus tôt, l'attaquant avait siphonné environ 116,500 Ether restaké depuis le pont de Kelp DAO basé sur LayerZero, un exploit évalué entre $290 million et $293 million à l'époque. 

Une partie de ces actifs a ensuite été utilisée sur Aave, où l'attaquant a mis en garantie du rsETH pour emprunter via le protocole.

Les efforts pour contenir les répercussions sont toujours en cours. 

« Notre priorité, ce sont nos utilisateurs, et chaque décision que nous prenons vise un retour ordonné aux conditions normales du marché et le meilleur résultat possible pour toutes les personnes concernées », a déclaré le fondateur d'Aave, Stani Kulechov, dans un message récent sur X. 

Pendant ce temps, l'équipe de Kelp DAO a confirmé qu'un travail est en cours en vue d'une « résolution appropriée », tout en se concentrant sur la protection des utilisateurs et le « renforcement du protocole ». 

Jusqu'à présent, les mesures initiales de confinement ont permis de limiter certains dégâts. Kelp DAO a suspendu les contrats et mis sur liste noire les portefeuilles liés à l'attaquant, empêchant l'assèchement de 40,000 rsETH supplémentaires, d'une valeur d'environ $95 million, de se produire.

Les enquêtes sur la violation ont mis en évidence des faiblesses dans la configuration de sécurité du pont. 

Les conclusions préliminaires de LayerZero ont suggéré que des nœuds RPC compromis ont permis à un message inter-chaînes frauduleux de passer la vérification, les critiques se concentrant sur l'utilisation d'une configuration de validation 1-of-1. 

Kelp DAO a contesté cette affirmation, soutenant que la configuration suivait la documentation par défaut et avait été précédemment confirmée comme appropriée.