Mastermind exploita Kelp DAO pierze 80 milionów dolarów przez THORChain w zaawansowanej operacji cross-chain

Cyberprzestępca stojący za niszczycielskim exploitem Kelp DAO wartym 290 milionów dolarów skutecznie wyprał około 80 milionów dolarów skradzionych ETH za pośrednictwem zdecentralizowanego protokołu giełdowego THORChain, co stanowi jedną z najbardziej znaczących operacji prania pieniędzy w historii zdecentralizowanych finansów. Wyrafinowany schemat prania pieniędzy wywindował 24-godzinny wolumen THORChain do nadzwyczajnego poziomu 394 milionów dolarów, co oznacza ponad 11-krotny wzrost w stosunku do typowych dziennych wolumenów protokołu wynoszących poniżej 35 milionów dolarów.

Dramatyczny wzrost wolumenu na THORChain ujawnia, w jaki sposób cyberprzestępcy w coraz większym stopniu wykorzystują zdecentralizowane protokoły cross-chain do zatajania pochodzenia skradzionych kryptowalut. Ta konkretna operacja demonstruje ewolucję technik prania kryptowalut poza tradycyjne usługi miksowania, takie jak Tornado Cash, a podmioty stanowiące zagrożenie wykorzystują teraz wbudowane funkcje prywatności zdecentralizowanych giełd do przetwarzania ogromnych ilości nielegalnych środków.

Sprawca, wstępnie powiązany z osławioną Grupą Lazarus z Korei Północnej, przeprowadził pierwotny atak poprzez wyrafinowaną operację spoofingu RPC wymierzoną w infrastrukturę mostu LayerZero należącą do Kelp DAO. Atakujący skompromitowali dwa niezależne węzły działające na oddzielnych klastrach, podmienili pliki binarne obsługujące węzły op-geth i przeprowadzili fałszywe transakcje, które ominęły niewystarczające konfiguracje zabezpieczeń Kelp, wymagające jedynie pojedynczej weryfikacji zamiast wielu potwierdzeń.

Ta operacja prania pieniędzy za pośrednictwem THORChain stanowi przemyślaną zmianę metodologii przestępczej. W przeciwieństwie do scentralizowanych giełd, które wdrażają solidne protokoły Know Your Customer i monitorowanie transakcji, zdecentralizowana architektura THORChain umożliwia anonimowe swapy cross-chain bez weryfikacji tożsamości. Natywna zdolność protokołu do ułatwiania bezproblemowych wymian między BTC, ETH i innymi głównymi kryptowalutami stanowi idealny pojazd do zaciemniania środków na dużą skalę.

Skala operacji prania pieniędzy na THORChain podkreśla rosnące wyrafinowanie sponsorowanych przez państwo operacji kradzieży kryptowalut. ETH jest obecnie handlowany po 2350,75 dolarów, co stanowi wzrost o 1,67% w ciągu ostatnich 24 godzin, co sugeruje, że masowa aktywność prania pieniędzy nie wpłynęła znacząco na szersze nastroje rynkowe. Jednak 80 milionów dolarów stanowi znaczną część dziennego wolumenu obrotu ETH wynoszącego 17,6 miliarda dolarów, co wskazuje na potencjalny wpływ operacji na rynek.

Wybór THORChain jako miejsca docelowego prania pieniędzy ujawnia dogłębną znajomość protokołów DeFi i ich charakterystyki operacyjnej. Ciągłe pule płynności THORChain i funkcjonalność automatycznego animatora rynku umożliwiają duże transakcje bez poślizgu cenowego typowo związanego z tak znacznymi wolumenami na scentralizowanych platformach. Ta wiedza techniczna pokrywa się z ocenami wywiadowczymi możliwości cybernetycznych Korei Północnej, które wykazały rosnące wyrafinowanie w operacjach DeFi.

Czas tej operacji prania pieniędzy zbiega się z szerszą kontrolą regulacyjną protokołów cross-chain bridge po wielu głośnych exploitach w latach 2025 i 2026. Incydent Kelp DAO, początkowo przypisywany infrastrukturze bezpieczeństwa LayerZero, zanim wina została przypisana własnym wyborom konfiguracyjnym Kelp, uwypuklił fundamentalne luki w protokołach komunikacji cross-chain umożliwiających masowe transfery środków między różnymi sieciami blockchain.

Analiza rynku ujawnia, że ta technika prania pieniędzy wykorzystuje krytyczną lukę w obecnych możliwościach kryminalistyki blockchain. Podczas gdy śledzenie transakcji on-chain pozostaje solidne w poszczególnych sieciach blockchain, protokoły cross-chain takie jak THORChain tworzą analityczne martwe punkty, które wyrafinowani aktorzy zagrożeń mogą wykorzystywać. Projekt protokołu, który spala natywne tokeny RUNE i mintuje równoważne aktywa w docelowych łańcuchach, tworzy złożone ścieżki transakcji, które tradycyjne narzędzia do analizy blockchain mają trudności ze skutecznym śledzeniem.

Skok wolumenu do 394 milionów dolarów demonstruje również ogromną płynność dostępną w zdecentralizowanych giełdach, sugerując, że nawet większe operacje prania pieniędzy mogłyby potencjalnie zostać wchłonięte bez uruchamiania automatycznych bezpieczników lub alertów o nietypowej aktywności. Ta głębokość płynności stanowi ciągłe wyzwanie dla regulatorów i organów ścigania próbujących monitorować i zapobiegać praniu pieniędzy z kryptowalut na dużą skalę.

Profesjonalne firmy zajmujące się bezpieczeństwem śledzące skradzione środki informują, że operacja prania pieniędzy zastosowała wyrafinowane mechanizmy czasowe, prawdopodobnie zaprojektowane w celu wtopienia dużych transakcji w legalną aktywność handlową podczas szczytowych godzin rynkowych. Takie podejście minimalizuje wykrycie przez zautomatyzowane systemy monitorowania, które sygnalizują nietypowe wzorce wolumenu lub rozmiary transakcji w odniesieniu do historycznych norm.

Pomyślne wypranie 80 milionów dolarów za pośrednictwem THORChain przy zachowaniu bezpieczeństwa operacyjnego stanowi niepokojący kamień milowy w wyrafinowaniu przestępczości kryptograficznej. Tradycyjne narzędzia organów ścigania zaprojektowane dla scentralizowanych systemów finansowych okazują się niewystarczające wobec zdecentralizowanych protokołów działających w wielu jurysdykcjach bez centralnego nadzoru ani mechanizmów zgodności.

Ten incydent wzmacnia krytyczną potrzebę wzmocnionych środków bezpieczeństwa w protokołach DeFi, szczególnie tych ułatwiających transakcje cross-chain. Połączenie znacznych zachęt finansowych, wyrafinowanych możliwości technicznych i możliwości arbitrażu regulacyjnego nadal przyciąga zaawansowane grupy trwałych zagrożeń do ekosystemu kryptowalut.

Ponieważ ETH utrzymuje swoją pozycję jako druga co do wielkości kryptowaluta z kapitalizacją rynkową wynoszącą 284,1 miliarda dolarów i dominacją rynkową na poziomie 10,98%, pomyślne wypranie tak znacznych kwot za pośrednictwem zdecentralizowanej infrastruktury podkreśla ciągłą ewolucję przestępczości w zakresie aktywów cyfrowych i odpowiadającą jej potrzebę adaptacyjnych ram bezpieczeństwa.