Maioria dos fundos do exploit do Kelp DAO passou pela THORChain

O atacante do Kelp DAO passou a lavar quase todo o ETH roubado, deixando apenas os fundos congelados ao alcance.

Segundo o analista on‑chain EmberCN, o atacante roteou cerca de 75.700 ETH pelo protocolo de liquidez entre-cadeias THORChain, convertendo os ativos em Bitcoin e gerando aproximadamente US$ 910.000 em taxas para a plataforma. 

O atacante começou a mover os fundos no início desta semana, quando os recursos foram divididos entre carteiras recém-criadas antes de serem ciclicados pela THORChain e pela ferramenta de privacidade Umbra.

Dados da Arkham mostram que a carteira principal do atacante agora está praticamente esvaziada. 

Os fluxos de transações indicam uma tentativa clara de sair das posições em vez de manter os proventos, com a Arkham observando que “os atacantes estão executando uma estratégia de saída em vez de ficar com os proventos.”

O movimento via THORChain tornou a trilha mais difícil de seguir, reduzindo a probabilidade de recuperar os fundos.

No momento da publicação, apenas uma parte dos ativos roubados permanece contida. 

O Conselho de Segurança da Arbitrum congelou 30.766 ETH ligados ao exploit e os transferiu para uma carteira intermediária, onde só podem ser acessados mediante aprovação da governança. 

A rede disse que a intervenção foi realizada sem interromper as operações, acrescentando que agiu “com informações das autoridades quanto à identidade do atacante” enquanto priorizava a integridade do ecossistema.

Lavagem de fundos reduz janela para recuperação

Cinco dias antes, o atacante havia drenado cerca de 116.500 Ether restakeado da ponte baseada em LayerZero do Kelp DAO, um exploit avaliado entre US$ 290 milhões e US$ 293 milhões na época. 

Parte desses ativos foi posteriormente usada na Aave, onde o atacante depositou rsETH como garantia para tomar empréstimos contra o protocolo.

Esforços para conter as consequências ainda estão em andamento. 

“Nossa prioridade são nossos usuários, e cada decisão que estamos tomando visa um retorno ordenado às condições normais de mercado e o melhor desfecho possível para todos os envolvidos”, disse o fundador da Aave, Stani Kulechov, em uma publicação recente no X. 

Enquanto isso, a equipe do Kelp DAO confirmou que trabalha em direção a uma “resolução adequada”, ao mesmo tempo em que foca em proteger os usuários e em “fortalecer o protocolo.”

Até agora, as medidas iniciais de contenção ajudaram a limitar parte dos danos. O Kelp DAO pausou contratos e colocou na lista negra carteiras ligadas ao atacante, impedindo que mais 40.000 rsETH, com valor aproximado de US$ 95 milhões, fossem drenados.

Investigações sobre a violação apontaram para fragilidades na configuração de segurança da ponte. 

Resultados preliminares da LayerZero sugeriram que nós RPC comprometidos permitiram que uma mensagem fraudulenta entre cadeias passasse pela verificação, com críticas direcionadas ao uso de uma configuração de validação 1-de-1. 

O Kelp DAO contestou essa alegação e argumentou que a configuração seguiu a documentação padrão e havia sido anteriormente confirmada como adequada.