Arbitrum jäädyttää 30 000 ETH:n KelpDAO-hakkerissa, kun hyökkääjä ohjaa varoja Bitcoiniin
- Arbitrum jäädytti 30 766 ETH:ta ennen kuin se pystyttiin poistamaan.
- Hyökkääjä siirsi 75 701 ETH:ta ja alkoi ohjata varoja Bitcoiniin.
- Yli 176 miljoonaa dollaria pestään useiden rinnakkaisten virtojen kautta.
Arbitrum on jäädyttänyt merkittävän osan KelpDAO:n hyväksikäyttöön liittyvistä varoista, vaikka hyökkääjä siirtyy työntämään jäljellä olevat varat ulottumattomiin.
Arbitumin turvallisuusneuvosto vahvisti jäädyttäneensä 30 766 ETH:ta, jonka arvo oli yli 70 miljoonaa dollaria toiminnan aikaan.
Varat sidottiin KelpDAO-hyökkääjään liittyvään osoitteeseen, ja ne suojattiin ennen kuin ne voitiin poistaa verkosta.
Interventio tapahtui sen jälkeen, kun koordinointia lainvalvontaviranomaisten kanssa oli tehty, mikä viittaa siihen, että viranomaisilla saattaa olla jo vihjeitä hyväksikäyttäjän henkilöllisyydestä.
Arbitrumin turvallisuusneuvosto on ryhtynyt kiireellisiin toimiin jäädyttääkseen 30 766 ETH:n, jota pidetään Arbitrum Onen osoitteessa, joka on yhteydessä KelpDAO:n hyväksikäyttöön. Turvallisuusneuvosto toimi lainvalvontaviranomaisten panoksella hyväksikäyttäjän henkilöllisyyden selvittämiseksi, ja aina…
— Arbitrum (@arbitrum) 21. huhtikuuta 2026
Kilpajuoksu aikaa vastaan
Blockchain-tutkijat, mukaan lukien PeckShield, olivat ilmoittaneet, että hyökkääjä yritti jo siirtää varoja Arbitrumista käyttämällä alkuperäistä siltaa.
Jos tämä siirto olisi saatu päätökseen, ETH olisi todennäköisesti liittynyt paljon suurempaan varastetun omaisuuden joukkoon, joka on jo liikkeellä muissa ketjuissa.
Puuttumalla väliin, kun se teki, Arbitrum esti noin 29 % varastetuista varoista pääsyn pesuputkeen. Jäljellä oleva omaisuus ei kuitenkaan ollut yhtä onnekas.
Itse KelpDAO:n hyväksikäytön arvoksi on arvioitu noin 290 miljoonaa dollaria, mikä tekee siitä yhden vuoden 2026 suurimmista hajautetun rahoituksen rikkomuksista.
Hyökkääjä eteni nopeasti ensimmäisen hyväksikäytön jälkeen jakaen varat useisiin lompakoihin ja ketjuihin jäljitettävyyden vähentämiseksi.
Pesu siirtyy Bitcoiniin
Jäädyttämisen jälkeen hyökkääjä vauhditti ponnisteluja jäljellä olevien varojen siirtämiseksi.
Tiedot osoittavat, että noin 75 701 ETH:ta, arvo noin 175 miljoonaa dollaria, siirrettiin Ethereumin verkkoon.
Sieltä rahastot alkoivat siirtyä Bitcoiniin hajautettujen protokollien, kuten THORChain, Chainflip ja Umbra Cash, kautta, jotka mahdollistavat suorat ketjujen väliset vaihdot ilman keskitettyä vaihtoa.
#PeckShieldAlert The @KelpDAO riistäjä on alkanut pestä varastettuja varoja (~176 miljoonaa dollaria).
He ovat alkaneet yhdistää pieniä eriä varoja #Ethereum to $BTC kautta @THORChain, @UmbraCash, @chainflipja @BitTorrent. pic.twitter.com/4cm8dOjTWL
— PeckShieldAlert (@PeckShieldAlert) 21. huhtikuuta 2026
PeckShieldin analyytikot havaitsivat, että hyökkääjä jätti vain noin 0,7 ETH:ta joihinkin lompakoihin, juuri tarpeeksi kattamaan transaktiomaksut, kun taas loput valuivat uusille reiteille.
Tämä malli heijastaa korkeaa toimintakuria ja suunnittelua.
Toinen 176 miljoonan dollarin osa varastetuista varoista on myös siirretty aktiivisesti rinnakkaisissa kaupoissa.
Sen sijaan, että hyökkääjä pestäisi kaiken yhdellä kertaa, näyttää siltä, että hän pyörittää useita streameja kerralla.
Tämä porrastettu lähestymistapa vähentää yksittäisen epäonnistumisen riskiä ja vaikeuttaa palautusta.
Onko pahamaineinen Pohjois-Korean Lazarus-ryhmä sidoksissa KelpDAO:n hyväksikäyttöön?
Operaation laajuus ja koordinointi ovat saaneet tutkijat yhdistämään hyväksikäytön Pohjois-Korean Lazarus-ryhmään, erityisesti TraderTraitor-nimiseen alaryhmään.
Tämä merkintä perustuu tapahtumatottumuksiin ja rahanpesutekniikoihin, jotka vastaavat ryhmään aiempia toimintoja.
Lazaruksella on pitkä historia salausalustojen kohdistamisesta ja monimutkaisten ketjujen välisten strategioiden käyttämisestä varastettujen varojen peittämiseen.
KelpDAO-tapauksessa havaittu hajautettujen siltojen ja nopean omaisuuden muuntamisen käyttö sopii hyvin tähän malliin.
