Większość funduszy z ataku na Kelp DAO przeszła przez THORChain

Sprawca ataku na Kelp DAO przystąpił do prania niemal wszystkich skradzionych ETH, pozostawiając w zasięgu jedynie zamrożone środki.

Według analityka blockchain EmberCN, atakujący przekierował około 75 700 ETH przez protokół płynności międzyłańcuchowej THORChain, konwertując aktywa na Bitcoin i generując dla platformy około 910 000 USD opłat. 

Atakujący rozpoczął przesyłanie środków na początku tygodnia, kiedy zostały one rozdzielone pomiędzy nowo utworzone portfele, zanim przeszły przez THORChain i narzędzie prywatności Umbra.

Dane Arkham pokazują, że główny portfel sprawcy został teraz w dużej mierze opróżniony. 

Przepływy transakcji wskazują na wyraźną próbę wyjścia z pozycji, zamiast zachowania wpływów — Arkham zauważa, że „sprawcy realizują strategię wyjścia, zamiast trzymać się wpływów”.

Przejście przez THORChain utrudniło śledzenie śladów, zmniejszając prawdopodobieństwo odzyskania środków.

W chwili publikacji tylko część skradzionych aktywów pozostaje zabezpieczona. 

Rada Bezpieczeństwa Arbitrum zamroziła 30 766 ETH powiązanych z eksploitem i przelała je do portfela pośredniczącego, do którego dostęp możliwy jest tylko po zatwierdzeniu przez governance. 

Sieć podała, że interwencja została przeprowadzona bez zakłócania działania, dodając, że działała „z udziałem organów ścigania w kwestii tożsamości sprawcy”, przy jednoczesnym priorytecie dla integralności ekosystemu.

Pranie środków ogranicza szanse na odzysk

Pięć dni wcześniej sprawca wyprowadził około 116 500 restaked Ether z mostu Kelp DAO opartego na LayerZero, exploit wyceniany wówczas na 290–293 mln USD. 

Część tych aktywów została następnie użyta w Aave, gdzie atakujący wystawił rsETH jako zabezpieczenie, aby zaciągnąć pożyczki w protokole.

Prace nad ograniczeniem skutków nadal trwają. 

„Naszym priorytetem są użytkownicy, a każda podejmowana przez nas decyzja ma na celu uporządkowany powrót do normalnych warunków rynkowych i jak najlepszy wynik dla wszystkich zainteresowanych” — powiedział założyciel Aave, Stani Kulechov, w niedawnym wpisie na X. 

Tymczasem zespół Kelp DAO potwierdził, że trwają prace nad „odpowiednim rozwiązaniem”, koncentrując się na zabezpieczeniu użytkowników i „wzmocnieniu protokołu”.

Jak dotąd początkowe środki powstrzymujące pomogły ograniczyć część szkód. Kelp DAO wstrzymało kontrakty i umieściło na czarnej liście portfele powiązane ze sprawcą, zapobiegając wyprowadzeniu dodatkowych 40 000 rsETH, o wartości około 95 mln USD.

Śledztwa w sprawie naruszenia wskazały na słabości w konfiguracji zabezpieczeń mostu. 

Wstępne ustalenia LayerZero sugerowały, że skompromitowane węzły RPC pozwoliły na weryfikację fałszywej wiadomości międzyłańcuchowej, a krytyka była skierowana przeciwko użyciu konfiguracji walidacji 1-of-1. 

Kelp DAO zakwestionował to twierdzenie, argumentując, że konfiguracja była zgodna z domyślną dokumentacją i wcześniej potwierdzono ją jako właściwą.