Arbitrum замораживает 30K ETH после взлома KelpDAO, поскольку злоумышленник переводит средства в Bitcoin - CoinJournal

• Arbitrum заморозил 30 766 ETH, прежде чем их удалось вывести.
• Злоумышленник перевел 75 701 ETH и начал маршрутизировать средства в Bitcoin.
• Более $176 миллионов выводится через несколько параллельных потоков.

Arbitrum заблокировал значительную часть средств, связанных с эксплойтом KelpDAO, даже несмотря на то, что злоумышленник пытается вывести оставшиеся активы за пределы доступа.

Совет безопасности Arbitrum подтвердил, что он заморозил 30 766 ETH, оцененных в более чем $70 миллионов на момент действия.

Средства были связаны с адресом, ассоциированным с злоумышленником KelpDAO, и были заблокированы до их вывода из сети.

Интервенция произошла после координации с правоохранительными органами, что говорит о том, что у властей, возможно, уже есть зацепки по личности злоумышленника.

Совет безопасности Arbitrum принял экстренные меры по заморозке 30 766 ETH, находящихся на адресе в Arbitrum One, связанном с эксплойтом KelpDAO. Совет действовал по согласованию с правоохранительными органами относительно личности злоумышленника и, в любой момент,…

— Arbitrum (@arbitrum) 21 апреля 2026

Гонка со временем

Блокчейн-следователи, включая PeckShield, отметили, что злоумышленник уже пытался перевести средства с Arbitrum с помощью нативного моста.

Если бы этот перевод был завершен, ETH, скорее всего, присоединился бы к гораздо большему пулу украденных активов, уже находящихся в обращении на других цепочках.

Благодаря своевременному вмешательству Arbitrum предотвратил попадание примерно 29% украденных средств в канал отмывки. Однако оставшиеся активы не были так удачливы.

Сам эксплойт KelpDAO оценивается примерно в $290 миллионов, что делает его одним из крупнейших взломов децентрализованных финансов 2026 года.

Злоумышленник быстро среагировал после первоначального взлома, разделив средства по нескольким кошелькам и цепочкам, чтобы снизить отслеживаемость.

Отмывка переходит в Bitcoin

После заморозка злоумышленник ускорил попытки перевода оставшихся средств.

Данные показывают, что примерно 75 701 ETH, стоимостью около $175 миллионов, было переведено в основную сеть Ethereum.

Оттуда средства начали перемещаться в Bitcoin через децентрализованные протоколы, такие как THORChain, Chainflip и Umbra Cash, которые позволяют осуществлять прямые кросс-чейн обмены без использования централизованных бирж.

#PeckShieldAlert Злоумышленник @KelpDAO начал отмывать украденные средства (~$176М).

Они начали мостить небольшие партии средств с #Ethereum на $BTC через @THORChain, @UmbraCash, @chainflip и @BitTorrent. pic.twitter.com/4cm8dOjTWL

— PeckShieldAlert (@PeckShieldAlert) 21 апреля 2026

Аналитики PeckShield отметили, что злоумышленник оставил в некоторых кошельках всего около 0,7 ETH, достаточно для оплаты транзакционных сборов, в то время как остальное он выводил на новые маршруты.

Этот шаблон отражает высокий уровень операционной дисциплины и планирования.

Еще одна часть украденных средств в размере $176 миллионов также активно перемещается параллельными транзакциями.

Вместо того чтобы отмывать все в одном потоке, злоумышленник, похоже, ведет несколько потоков одновременно.

Такой поэтапный подход снижает риск единой точки отказа и усложняет попытки восстановления.

Связана ли группа Lazarus из Северной Кореи с эксплойтом KelpDAO?

Масштаб и координация операции привели следователей к выводу, что эксплойт связан с группой Lazarus из Северной Кореи, в частности с подгруппой, известной как TraderTraitor.

Это подтверждается по шаблонам транзакций и методам отмывки, которые совпадают с предыдущими операциями, связанными с этой группой.

Lazarus имеет долгую историю атак на крипто-платформы и использует сложные стратегии кросс-чейн для сокрытия украденных средств.

Использование децентрализованных мостов и быстрая конвертация активов, наблюдаемая в случае KelpDAO, очень похоже на этот шаблон.