Flertallet av midlene fra Kelp DAO-hacket flyttet via THORChain

Kelp DAO-utnytteren har begynt å hvitvaske nesten alt av stjålet ETH, og etterlater kun de frosne midlene innen rekkevidde.

Ifølge blokkjedesanalytiker EmberCN har angriperen rutet omtrent 75 700 ETH gjennom protokollen for tverrkjedelig likviditet THORChain, konvertert midlene til Bitcoin og generert cirka $910 000 i gebyrer for plattformen. 

Angriperen begynte å flytte midlene tidligere denne uken, da midlene ble delt mellom nylig opprettede lommebøker før de ble ført gjennom THORChain og personverneverktøyet Umbra.

Arkham-data viser at angriperens primære lommebok nå stort sett er tømt. 

Transaksjonsstrømmene peker mot et klart forsøk på å avslutte posisjoner heller enn å beholde inntektene, og Arkham bemerker at «angriperne gjennomfører en exit-strategi fremfor å sitte på utbyttet.»

Bevegelsene gjennom THORChain har gjort sporingen vanskeligere, noe som reduserer sannsynligheten for å gjenvinne midlene.

Per publiseringstidspunktet er bare en del av de stjålne midlene fortsatt innesperret. 

Arbitrums sikkerhetsråd har frosset 30 766 ETH knyttet til utnyttelsen og overført dem til en mellomliggende lommebok, der de kun kan nås gjennom styringsgodkjenning. 

Nettverket sa at inngrepet ble utført uten å forstyrre driften, og la til at det handlet «med innspill fra rettshåndhevelse om utnytterens identitet» samtidig som det prioriterte økosystemets integritet.

Hvitvaskingen innsnevrer vinduet for gjenvinning

Fem dager tidligere hadde angriperen tappet rundt 116 500 re-staket Ether fra Kelp DAO sin LayerZero-baserte bro, en utnyttelse verdsatt til mellom $290 millioner og $293 millioner på det tidspunktet. 

En del av disse midlene ble senere brukt i Aave, hvor angriperen stilte rsETH som sikkerhet for å låne mot protokollen.

Innsatsen for å begrense konsekvensene pågår fortsatt. 

«Vår prioritet er brukerne våre, og alle beslutninger vi tar er rettet mot en ordnet tilbakevending til normale markedsforhold og det best mulige utfallet for alle involverte,» sa Aave-grunnlegger Stani Kulechov i et nylig innlegg på X. 

I mellomtiden har Kelp DAO-teamet bekreftet at arbeid pågår mot en «egnet løsning», samtidig som man fokuserer på å beskytte brukere og «styrke protokollen.»

Så langt har innledende inneslutningstiltak bidratt til å begrense noe skade. Kelp DAO satte kontrakter på pause og svartelistet angriperknyttede lommebøker, og forhindret at ytterligere 40 000 rsETH, verdt omtrent $95 millioner, ble tømt.

Etterforskningen av bruddet har pekt på svakheter i broens sikkerhetsoppsett. 

Foreløpige funn fra LayerZero antydet at kompromitterte RPC-noder tillot en falsk tverrkjedelig melding å passere verifikasjon, med kritikk rettet mot bruken av en 1-av-1 valideringskonfigurasjon. 

Kelp DAO har bestridt den påstanden og hevdet at oppsettet fulgte standarddokumentasjonen og tidligere hadde blitt bekreftet som passende.