Kelp DAO hack: inaatake ang halos lahat ng $293M ETH, nagiiwan lamang ng naka-freeze na pondo
Natalia Ivanov2026-05-06
Matapos ang $293M na pag-hack sa Kelp DAO, mabilis na nilabhan ng umaatake ang ETH sa pamamagitan ng THORChain at mga mixer, na tanging ang mga nakapirming pondo sa Arbitrum lamang ang maaaring mabawi habang unti-unting nawawala ang mga opsyon sa pagsubaybay.
Ang salarin na responsable sa pag-hack sa Kelp DAO na humigit-kumulang $293 milyon ay di-umano'y nagsagawa ng mabilisang operasyon ng paglilinis ng pera, inilipat ang halos lahat ng ninakaw na ETH mula sa mga aktibidad ng kalakalan ilang araw pagkatapos ng pagnanakaw. Lubos nitong nabawasan ang posibleng opsyon sa pagbawi sa mga natitirang nakapirming pondo na nasa ilalim ng pamamahala ng seguridad ng Arbitrum.
Mabilisang Paggalaw ng Ninakaw na Pondo
Ipinahiwatig ng pagsubaybay sa blockchain na sinimulan ng salarin ang pamamahagi ng ninakaw na pondo noong Martes, ilang araw lamang pagkatapos ng pagsasamantala (noong Sabado kung kailan humigit-kumulang 116,500 restaked Ether (rsETH) ang inalis mula sa Kelp DAO LayerZero-based bridge protocol). Ang mga ninakaw na deposito ay nagkakahalaga ng humigit-kumulang $290 milyon hanggang $293 milyon noong panahong iyon.
Sinimulan ng salarin sa pagkolekta ng humigit-kumulang 75,700 ETH sa mga bagong wallet na may market value na humigit-kumulang $175 milyon. Ang hakbang na ito, karaniwan sa simula ng mga pag-atake, ay nagsisilbing idiskonekta ang transaksyon ng pagsasamantala mula sa proseso ng paglilinis ng pera.
Ang pera ay ipinadala sa pamamagitan ng iba't ibang yugto ng paglipat ng salapi gamit ang iba't ibang decentralized na privacy at liquidity tools sa pagsisikap na itago ang bakas ng transaksyon at pagmamay-ari.
Paggamit ng THORChain at mga Privacy Tool
Malaking bahagi ng paglilinis ng pera ang pinaniniwalaang dumaan sa THORChain, isang cross-chain liquidity network na nagpapadali ng mga palitan sa pagitan ng iba't ibang chain nang hindi nangangailangan ng mga sentral na counterpart. Batay sa pagsusuri ng blockchain, pinaniniwalaang ipinagpalit ng salarin ang malaking bahagi ng Ether para sa Bitcoin (BTC) sa platform.
Ang aktibidad na ito na nagbigay ng bilyun-bilyong dolyar (211% ROI) na bayarin sa transaksyon para sa protocol (IOU, USDT, at USDC) ay nagpakita kung paano magagamit ang permissionless infrastructure ng fungible decentralized liquidity para sa iligal na malaking volume. Ang pagtataya sa halaga ng bayarin ng aktibidad (humigit-kumulang $910,000) ay nagpapahiwatig ng epekto nito.
Kahit pagkatapos ng THORChain, ang ilan sa mga pondo ay ipinadala sa isa pang mixing protocol na tinatawag na Umbra, na binuo gamit ang confidential technology. Ang karagdagang layer ng pagtatago na ito ay nagpahirap sa mga imbestigador at kumpanya ng analytics na subaybayan ang mga pondo.
Noong Huwebes, ipinahayag ng blockchain intelligence feeds mula sa Arkham na ang karamihan sa mga pondo sa orihinal na tag na wallet ng salarin ay naubos na, na nagpapahiwatig na ang “saga ng paglilinis ng pera” nito ay malapit nang matapos.
Mga Senyales ng Isang Estrukturadong Estratehiya sa Pag-alis
Napansin ng mga on-chain intelligence platform tulad ng Arkham na ang mga pattern ng paggalaw ay katangian ng isang paglilipat, sa halip na pangmatagalang paghawak.
Sa halip na panatilihin ang ninakaw na pera sa mga natutukoy na wallet, na maaaring magdulot ng pinagsamang pagsisikap sa pagbawi laban sa salarin, ang pera ay pinagsama-sama, binago sa iba't ibang asset, ipinasa sa maraming intermediate holding account, lahat sa loob ng napakaikling panahon.
Base sa bilis at disenyo ng mga transaksyon, itinuro ng mga analista na ang mga transaksyon ay tila ginawa na may motibo ng “pagpapalit ng pera” (cashing out) sa halip na manipulahin ang merkado o makipag-negosasyon para sa ransom.
Limitadong Panahon ng Pagbawi: Mga Nakapirming Pondo ng Arbitrum
Hindi lahat ng ninakaw na asset ay na-convert at nananatiling nakapirmi. Nagpirming ang Arbitrum security council ng humigit-kumulang 30,766 ETH mula sa mga pondo ng Binance matapos ang muling pagpasok.
Ang mga asset na ito ay inilipat sa isang intermediate na wallet na nasa ilalim ng kontrol ng pamamahala at hindi pinapayagang ilipat sa kasalukuyan (nang walang pagpasa ng protocol level governance).
Ang nakapirming tranche na ito ngayon ang pinakamalaking nababawi na bahagi ng pagsasamantala, habang ang natitirang ninakaw na ETH ay dumaan na sa sarili nitong serye ng mga mixer at cross-chain swap, na lalong nagtatago ng pinagmulan nito.
Paano Nagsimula ang Pag-atake
Ang pag-atake ay laban sa Kelp DAO, isang restaking protocol na gumagamit ng liquid staking derivatives. Gamit ang mga kahinaan sa LayerZero-interoperable rsETH bridge system nito, nakakuha ang salarin ng malaking halaga ng restaked Ether.
Ang ninakaw na asset, rsETH, ay isang abstraction ng staked ETH positions na ginagamit sa iba't ibang decentralized finance structures upang kumita ng karagdagang yield. Bagama't epektibo, ang composability na ito ay maaaring humantong sa mas malaking systemic risk kung makompromiso ang imprastraktura ng bridge.
Mas Malawakang Implikasyon para sa Seguridad ng DeFi
Ang ganitong mga pag-atake ay lalong nagbibigay-diin sa kasalukuyang panganib sa cross-chain DeFi infrastructure, kung saan nagtatagpo ang paggamit ng bridge protocols at restaking. Ang mabilis na paglilinis ng pondo sa pamamagitan ng mga DeFi protocol ay nagpapakita ng parehong lakas ng DeFi at ng kanyang Achilles heel: permissionless finance.
Sa isang banda, ang open source at perma-bridging liquidity models ng DeFi ay hindi apektado ng ilang partikular na sitwasyon ng pag-atake tulad ng kasalukuyang mga exploit sa stable coin bridges. Sa kabaligtaran, ang pagiging bukas na ito ay nakakatulong din na maging target ng pagsasamantala bilang mga kritikal na access point sa mga iligal na daloy ng pera.
Kasabay nito, ipinapakita ng bahagyang pagpirming ng Arbitrum security council kung paano lumilipat ang mga emergency powers sa kamay ng mga decentralized security council. Ngunit ang mga hakbang na ito ay lalo pang nalilimitahan ang bisa sa bilis ng paglipat ng mga umaatake ng pondo sa maraming chain at privacy layer.
Pananaw
Dahil ang malaking bahagi ng ninakaw na halaga ay naipamahagi na sa iba't ibang chain sa pamamagitan ng cross-chain swaps at privacy mixers, ang imbestigasyon ay malamang na tututok lamang sa mga nakapirming pondo sa ilalim ng pamamahala ng Arbitrum.
Para sa mga imbestigador, binibigyang-diin ng kaso ang isang problemang kilala sa decentralized finance: kapag ang malaking halaga ng ninakaw na pondo ay mabilis na na-bridge, na-swap at na-anonymize, ang pagkakataon para mabawi ang ilegal na kita ay limitado sa mga oras o araw sa halip na mga linggo.
