La maggior parte dei fondi dell'exploit di Kelp DAO spostata tramite THORChain

L'autore dell'exploit di Kelp DAO ha cercato di riciclare quasi tutti gli ETH rubati, lasciando accessibili solo i fondi congelati.

Secondo l'analista blockchain EmberCN, l'attaccante ha instradato circa 75,700 ETH attraverso il protocollo di liquidità cross-chain THORChain, convertendo gli asset in Bitcoin e generando per la piattaforma circa $910,000 di commissioni. 

L'attaccante ha iniziato a muovere i fondi all'inizio della settimana, quando questi sono stati divisi tra wallet appena creati prima di essere fatti transitare attraverso THORChain e lo strumento di privacy Umbra.

I dati di Arkham mostrano che il wallet principale dell'attaccante è ora in gran parte prosciugato. 

I flussi di transazione indicano un chiaro tentativo di uscire dalle posizioni piuttosto che trattenere i proventi, con Arkham che osserva che “gli attaccanti stanno eseguendo una strategia d'uscita invece di trattenere i proventi.”

I movimenti attraverso THORChain hanno reso la traccia più difficile da seguire, riducendo la probabilità di recuperare i fondi.

Al momento della pubblicazione, solo una parte dei beni rubati resta ancora contenuta. 

Il Security Council di Arbitrum ha congelato 30,766 ETH legati all'exploit e li ha trasferiti in un wallet intermedio, dove possono essere prelevati solo con l'approvazione della governance. 

La rete ha dichiarato che l'intervento è stato eseguito senza interrompere le operazioni, aggiungendo che ha agito “con il contributo delle forze dell'ordine riguardo l'identità dell'autore dell'exploit” dando priorità all'integrità dell'ecosistema.

I fondi riciclati restringono la finestra di recupero

Cinque giorni prima, l'attaccante aveva prosciugato circa 116,500 Ether rimessi in staking dal bridge di Kelp DAO basato su LayerZero, un exploit valutato tra $290 milioni e $293 milioni al momento. 

Parte di quegli asset è stata poi utilizzata su Aave, dove l'attaccante ha depositato rsETH come garanzia per prendere in prestito tramite il protocollo.

Gli sforzi per contenere le conseguenze sono ancora in corso. 

«La nostra priorità sono i nostri utenti, e ogni decisione che stiamo prendendo è finalizzata a un ritorno ordinato alle condizioni di mercato normali e al miglior esito possibile per tutti gli interessati», il fondatore di Aave Stani Kulechov ha detto in un recente post su X. 

Nel frattempo, il team di Kelp DAO ha confermato che sono in corso lavori per una “risoluzione adeguata”, concentrandosi sulla tutela degli utenti e sul “rafforzamento del protocollo.”

Finora le misure iniziali di contenimento hanno contribuito a limitare i danni. Kelp DAO ha sospeso i contratti e messo nella blacklist i wallet collegati all'attaccante, impedendo il prosciugamento di ulteriori 40,000 rsETH, per un valore di circa $95 milioni.

Le indagini sulla violazione hanno rilevato debolezze nella configurazione di sicurezza del bridge. 

I riscontri preliminari di LayerZero suggerivano che nodi RPC compromessi avevano permesso a un messaggio cross-chain fraudolento di superare la verifica, con critiche rivolte all'uso di una configurazione di validazione 1 su 1. 

Kelp DAO ha contestato tale affermazione, sostenendo che la configurazione seguiva la documentazione predefinita e che era stata in precedenza confermata come appropriata.