Arbitrum замораживает 30K ETH после взлома KelpDAO, злоумышленник переводит средства в Биткоин - CoinJournal

• Arbitrum заморозил 30 766 ETH до того, как их можно было вывести.
• Злоумышленник перевел 75 701 ETH и начал маршрутизировать средства в Bitcoin.
• Более $176 миллионов выводится через несколько параллельных потоков.

Arbitrum заморозил значительную часть средств, связанных с эксплойтом KelpDAO, даже несмотря на то, что злоумышленник пытается вывести оставшиеся активы за пределы доступа.

Совет безопасности Arbitrum подтвердил, что он заморозил 30 766 ETH, оцененных в более чем $70 миллионов на момент действия.

Средства были связаны с адресом, ассоциированным с злоумышленником KelpDAO, и были заблокированы до того, как их можно было вывести из сети.

Интервенция произошла после координации с правоохранительными органами, что говорит о том, что у властей, возможно, уже есть зацепки по личности злоумышленника.

Совет безопасности Arbitrum принял экстренные меры по заморозке 30 766 ETH, хранящихся на адресе в Arbitrum One, связанном с эксплойтом KelpDAO. Совет действовал с учетом мнения правоохранительных органов относительно личности злоумышленника и, в любой момент,…

— Arbitrum (@arbitrum) 21 апреля 2026

Гонка со временем

Блокчейн-следователи, включая PeckShield, отметили, что злоумышленник уже пытался перевести средства с Arbitrum с помощью нативного моста.

Если бы этот перевод был завершен, ETH, вероятно, присоединился бы к гораздо большему пулу украденных активов, уже находящихся в обращении на других цепочках.

Благодаря своевременному вмешательству Arbitrum удалось предотвратить попадание примерно 29% украденных средств в канал отмывки. Однако оставшиеся активы не были так удачливы.

Сам эксплойт KelpDAO оценивается примерно в $290 миллионов, что делает его одним из крупнейших взломов децентрализованных финансов 2026 года.

Злоумышленник быстро среагировал после первоначального взлома, разделив средства по нескольким кошелькам и цепочкам, чтобы снизить отслеживаемость.

Отмывка переходит в Bitcoin

После заморозка злоумышленник ускорил попытки перевести оставшиеся средства.

Данные показывают, что примерно 75 701 ETH, стоимостью около $175 миллионов, было переведено в основную сеть Ethereum.

Оттуда средства начали перемещаться в Bitcoin через децентрализованные протоколы, такие как THORChain, Chainflip и Umbra Cash, которые позволяют осуществлять прямые кросс-чейн обмены без использования централизованных бирж.

#PeckShieldAlert Злоумышленник @KelpDAO начал отмывать украденные средства (~$176М).

Они начали мостить небольшие партии средств с #Ethereum на $BTC через @THORChain, @UmbraCash, @chainflip и @BitTorrent. pic.twitter.com/4cm8dOjTWL

— PeckShieldAlert (@PeckShieldAlert) 21 апреля 2026

Аналитики PeckShield отметили, что в некоторых кошельках злоумышленник оставил всего около 0,7 ETH, достаточно для покрытия транзакционных сборов, в то время как остальное было выведено на новые маршруты.

Этот шаблон отражает высокий уровень операционной дисциплины и планирования.

Еще одна часть украденных средств в размере $176 миллионов также активно перемещается параллельными транзакциями.

Вместо того чтобы отмывать все за один поток, злоумышленник, похоже, управляет несколькими потоками одновременно.

Такой поэтапный подход снижает риск единой точки отказа и усложняет попытки восстановления.

Связана ли известная группа Лазарус из Северной Кореи с эксплойтом KelpDAO?

Масштаб и координация операции привели следователей к выводу, что эксплойт связан с группой Лазарус из Северной Кореи, в частности с подгруппой, известной как TraderTraitor.

Эта атрибуция основана на шаблонах транзакций и методах отмывки, совпадающих с предыдущими операциями, связанными с группой.

Лазарус имеет долгую историю атак на криптоплатформы и использует сложные стратегии кросс-чейн для сокрытия украденных средств.

Использование децентрализованных мостов и быстрая конвертация активов, наблюдаемая в случае KelpDAO, очень близки к этому шаблону.