Arbitrum заморожує 30K ETH у хакінгу KelpDAO, оскільки зловмисник перекидає кошти на Bitcoin - CoinJournal

• Arbitrum заблокував 30 766 ETH перед тим, як їх можна було вивести.
• Зловмисник перемістив 75 701 ETH і почав маршрутизувати кошти до Біткоїна.
• Більше ніж $176 мільйонів відмиваються через кілька паралельних потоків.

Arbitrum заблокував значну частину коштів, пов’язаних з експлойтом KelpDAO, навіть коли зловмисник намагається вивести залишки активів за межі мережі.

Рада безпеки Arbitrum підтвердила, що вона заблокувала 30 766 ETH, вартість яких на момент дії становила понад $70 мільйонів.

Ці кошти були прив’язані до адреси, пов’язаної з зловмисником KelpDAO, і були заблоковані до того, як їх можна було вивести з мережі.

Застосування заходів відбулося після координації з правоохоронними органами, що свідчить про можливі наявність у правоохоронців інформації про особу зловмисника.

Рада безпеки Arbitrum вжила надзвичайних заходів для блокування 30 766 ETH, що зберігаються на адресі в Arbitrum One, пов’язаній з експлойтом KelpDAO. Рада діяла за участю правоохоронних органів щодо особи зловмисника і, на всіх етапах,…

— Arbitrum (@arbitrum) 21 квітня 2026

Гонка з часом

Блокчейн-розслідувачі, зокрема PeckShield, попереджали, що зловмисник уже намагається перемістити кошти з Arbitrum за допомогою вбудованого мосту.

Якщо б цей переказ був завершений, ETH, ймовірно, приєднався б до набагато більшого пулу викрадених активів, які вже циркулюють на інших ланцюгах.

Завдяки своєчасному втручанню Arbitrum запобіг приблизно 29% викрадених коштів потрапити у канал відмивання. Однак решта активів не пощастило.

Сам експлойт KelpDAO оцінюється приблизно в $290 мільйонів, що робить його одним із найбільших порушень у сфері децентралізованих фінансів 2026 року.

Зловмисник швидко діяв після початкового експлойту, розподіляючи кошти між кількома гаманцями та ланцюгами, щоб зменшити можливість відслідковування.

Відмивання переходить у Біткоїн

Після блокування зловмисник прискорив спроби перемістити залишки коштів.

Дані показують, що приблизно 75 701 ETH, вартістю близько $175 мільйонів, було переведено на основний мережевий Ethereum.

Звідти кошти почали переміщатися у Біткоїн через децентралізовані протоколи, такі як THORChain, Chainflip і Umbra Cash, які дозволяють прямі крос-ланцюгові обміни без використання централізованих бірж.

#PeckShieldAlert Злочинець KelpDAO почав відмивати викрадені кошти (~$176М).

Вони почали мостити невеликі партії коштів з #Ethereum через $BTC з @THORChain, @UmbraCash, @chainflip і @BitTorrent. pic.twitter.com/4cm8dOjTWL

— PeckShieldAlert (@PeckShieldAlert) 21 квітня 2026

Аналітики PeckShield зауважили, що зловмисник залишив у деяких гаманцях лише близько 0,7 ETH, достатньо для покриття транзакційних зборів, тоді як решту коштів він вивів у нові маршрути.

Ця схема свідчить про високий рівень операційної дисципліни та планування.

Ще одна частина викрадених коштів у розмірі $176 мільйонів також активно переміщується у паралельних транзакціях.

Замість того, щоб відмивати все в одному потоці, зловмисник, ймовірно, веде кілька потоків одночасно.

Такий поетапний підхід зменшує ризик однієї точки відмови і ускладнює процес відновлення.

Чи пов’язана з експлойтом KelpDAO відома група Lazarus з Північної Кореї?

Масштаб і координація операції змусили слідчих зв’язати експлойт із групою Lazarus з Північної Кореї, зокрема підгрупою TraderTraitor.

Це приписування базується на моделях транзакцій і методах відмивання, що відповідають попереднім операціям цієї групи.

Lazarus має довгу історію цілеспрямованих атак на крипто-платформи та використання складних крос-ланцюгових стратегій для приховування викрадених коштів.

Використання децентралізованих мостів і швидке конвертування активів, що спостерігається у випадку KelpDAO, дуже нагадує цю схему.