Groot deel van Kelp DAO-exploitfondsen verplaatst via THORChain

De Kelp DAO-exploiter heeft bijna alle gestolen ETH gewit, waarbij alleen bevroren fondsen binnen bereik blijven.

Volgens blockchain-analist EmberCN heeft de aanvaller ongeveer 75,700 ETH via het cross-chain liquiditeitsprotocol THORChain geleid, de activa omgezet in Bitcoin en ongeveer $910,000 aan vergoedingen voor het platform gegenereerd. 

De aanvaller begon eerder deze week met het verplaatsen van fondsen, waarbij de gelden werden verdeeld over nieuw aangemaakte wallets voordat ze via THORChain en de privacytool Umbra werden gecycled.

Arkham-data tonen aan dat de primaire wallet van de aanvaller nu grotendeels is leeggehaald. 

Transactiestromen wijzen op een duidelijke poging om posities af te wikkelen in plaats van de opbrengst te behouden, waarbij Arkham opmerkt dat de “aanvallers een exitstrategie uitvoeren in plaats van op de opbrengst te blijven zitten.”

Bewegingen via THORChain hebben het spoor moeilijker te volgen gemaakt, waardoor de kans op terugvordering afneemt.

Op het moment van publicatie blijft slechts een deel van de gestolen activa ingesloten. 

De Security Council van Arbitrum heeft 30,766 ETH bevroren die aan de exploit zijn gekoppeld en overgeheveld naar een tussenwallet, waar ze alleen via governance-goedkeuring toegankelijk zijn. 

Het netwerk zei dat de interventie is uitgevoerd zonder de operaties te verstoren, en voegde daaraan toe dat het handelde “met input van wetshandhavers over de identiteit van de exploiter” terwijl het de integriteit van het ecosysteem vooropstelt.

Witgewassen fondsen verkleinen kans op herstel

Vijf dagen eerder had de aanvaller ongeveer 116,500 restaked Ether van Kelp DAO’s op LayerZero gebaseerde bridge leeggetrokken, een exploit met een waarde van tussen de $290 miljoen en $293 miljoen op dat moment. 

Een deel van die activa werd later binnen Aave gebruikt, waar de aanvaller rsETH als onderpand plaatste om tegen het protocol te lenen.

De inspanningen om de nasleep te beperken zijn nog steeds gaande. 

“Onze prioriteit zijn onze gebruikers, en elke beslissing die we nemen is gericht op een ordelijk herstel van normale marktomstandigheden en het best mogelijke resultaat voor alle betrokkenen,” zei Aave-oprichter Stani Kulechov in een recente X-post. 

Ondertussen heeft het Kelp DAO-team bevestigd dat er gewerkt wordt aan een “geschikte oplossing” met focus op het beschermen van gebruikers en het “versterken van het protocol.”

Tot dusver hebben initiële containmentsmaatregelen geholpen enige schade te beperken. Kelp DAO heeft contracten gepauzeerd en wallets die met de aanvaller verbonden zijn op een zwarte lijst gezet, waardoor een extra 40,000 rsETH, ter waarde van ongeveer $95 miljoen, niet kon worden leeggetrokken.

Onderzoeken naar de inbreuk wezen op zwakheden in de beveiligingsconfiguratie van de bridge. 

Voorlopige bevindingen van LayerZero suggereerden dat gecompromitteerde RPC-nodes een frauduleus cross-chain bericht door verificatie lieten komen, met kritiek op het gebruik van een 1-op-1 validatieconfiguratie. 

Kelp DAO heeft die bewering bestreden en aangevoerd dat de configuratie de standaarddocumentatie volgde en eerder als passend was bevestigd.