Majoriteten av medlen från Kelp DAO-exploit flyttades via THORChain

Exploatören av Kelp DAO har börjat tvätta nästan alla stulna ETH, vilket lämnar endast frysta medel inom räckhåll.

Enligt blockkedjeanalytikern EmberCN har angriparen omdirigerat ungefär 75,700 ETH genom tvärkedje‑likviditetsprotokollet THORChain, konverterat till Bitcoin och genererat omkring $910,000 i avgifter för plattformen. 

Angriparen började flytta medel tidigare denna vecka, då beloppen delades upp över ny‑skapade plånböcker innan de cyklades genom THORChain och sekretessverktyget Umbra.

Arkham‑data visar att angriparens primära plånbok nu i stort sett har tömts. 

Transaktionsflödena pekar mot ett tydligt försök att lämna positioner snarare än att behålla intäkterna, där Arkham noterade att “angriparna genomför en exit‑strategi snarare än att sitta på intäkterna.”

Rörelserna genom THORChain har gjort spåren svårare att följa, vilket minskar sannolikheten att återfå medlen.

Vid publiceringstidpunkten återstår endast en del av de stulna tillgångarna i kapslat skick. 

Arbitrum:s säkerhetsråd har fryst 30,766 ETH kopplade till exploiten och överfört dem till en mellanliggande plånbok, där de endast kan nås genom styrningsgodkännande. 

Nätverket uppgav att ingripandet genomfördes utan att störa driften, och tillade att man agerat “med input från rättsväsendet gällande exploatörens identitet” samtidigt som man prioriterat ekosystemets integritet.

Laundered funds narrow recovery window

Fem dagar tidigare hade angriparen dränerat omkring 116,500 återinsatta Ether från Kelp DAOs LayerZero‑baserade brygga, en exploit värderad till mellan $290 miljoner och $293 miljoner vid den tidpunkten. 

En del av dessa tillgångar användes senare inom Aave, där angriparen ställde rsETH som säkerhet för att ta lån mot protokollet.

Insatser för att begränsa följderna pågår fortfarande. 

“Vår prioritet är våra användare, och varje beslut vi fattar syftar till en ordnad återgång till normala marknadsförhållanden och det bästa möjliga utfall för alla inblandade,” sa Aave‑grundaren Stani Kulechov i ett nyligt inlägg på X. 

Samtidigt har Kelp DAO‑teamet bekräftat att arbete pågår mot en “lämplig lösning” samtidigt som man fokuserar på att skydda användare och “stärka protokollet.”

Hittills har inledande begränsningsåtgärder hjälpt till att begränsa en del av skadorna. Kelp DAO pausade kontrakt och svartlistade plånböcker kopplade till angriparen, vilket förhindrade att ytterligare 40,000 rsETH, värda ungefär $95 miljoner, dränerades.

Utredningar av intrånget har pekat på svagheter i bryggans säkerhetskonfiguration. 

Preliminära resultat från LayerZero antydde att komprometterade RPC‑noder gjorde det möjligt för ett bedrägligt tvärkedjemeddelande att passera verifiering, med kritik riktad mot användningen av en 1‑av‑1‑valideringskonfiguration. 

Kelp DAO har bestridit det påståendet och hävdat att konfigurationen följde standarddokumentationen och tidigare bekräftats som lämplig.