coinedition.com
Der Angreifer hinter dem Kelp-DAO-Exploit hat etwa 80 Millionen Dollar an gestohlenen Mitteln gewaschen, nachdem er Anfang dieser Woche $ETH im Wert von etwa 175 Millionen Dollar bewegt hatte.
Laut Onchain-Daten bewegte der Exploiter 34.500 $ETH, nachdem er am Dienstag Gelder von Ethereum umgeleitet hatte. Der Großteil dieses $ETH wurde dann über THORChain in Bitcoin umgetauscht.
Der Kelp DAO-Exploit entlud etwa 290 bis 292 Millionen Dollar durch die LayerZero-betriebene Cross-Chain-Brücke des Projekts.
THORChain-Lautstärke springt weit über den Normalwert hinaus
Der Waschfluss trieb die THORChain-Aktivität an. Das Dashboard von THORChain zeigte in den letzten 24 Stunden ein Swap-Volumen von 394 Millionen US-Dollar und generierte etwa 456.000 US-Dollar an Gebühren.
Das normale Tagesvolumen liegt üblicherweise zwischen 10 und 35 Millionen US-Dollar, was bedeutet, dass das jüngste Volumen mehr als zehnmal über dem typischen Niveau lag.
Laut dem On-Chain-Datenanalysten EmberCN nutzte der Angreifer hauptsächlich THORChain, um $ETH in BTC umzuwandeln. Diese Methode wurde auch in früheren groß angelegten Hacks genutzt, da sie direkte Cross-Chain-Swaps ohne zentralen Betreiber mit Mitteln ermöglicht.
THORChain hat diese Woche erneut gesagt, dass es einem neutralen Modell folgt, ohne zentralen Controller, ohne Admin-Schlüssel und ohne eine einzelne Partei, die Vermögenswerte einfrieren kann.
Arbitrum friert 70,9 Millionen Dollar in $ETH ein
Ein Teil der gestohlenen Gelder wurde gestoppt, bevor sie transportiert werden konnten. Arbitrum teilte mit, dass sein Sicherheitsrat 30.766 $ETH sicherte, die mit angreiferbezogenen Adressen auf Arbitrum One verknüpft sind. Die Übertragung wurde am 20. April um 23:26 Uhr ET abgeschlossen. Basierend auf dem damaligen Marktwert betrug der zurückgezahlte Betrag etwa 70,97 Millionen US-Dollar.
Die $ETH wurde in eine eingefrorene Zwischen-Wallet verlegt, die durch Governance-Schutzmaßnahmen kontrolliert wird. Arbitrum erklärte, dass der Ausbeuter keinen Zugriff mehr auf diese Vermögenswerte haben könne, und jede zukünftige Bewegung würde eine Genehmigung der Governance erfordern, die mit den zuständigen Parteien abgestimmt wird.
Die Kette erklärte, die Maßnahme sei gezielt gewesen und habe keine Auswirkungen auf andere Nutzer, Apps oder breitere Netzwerkoperationen.
Lazarus-Gruppe in früher Sonde benannt
LayerZero sagte, die frühe Analyse deute auf Nordkoreas Lazarus Group hin, insbesondere auf die TraderTraitor-Einheit. Laut dem Unternehmen haben die Angreifer das Kernprotokoll von LayerZero nicht gebrochen.
Stattdessen kompromittierten sie zwei nachgelagerte RPC-Knoten, die in einem dezentralen Verifizierernetzwerk verwendet wurden, während sie DDoS-Angriffe auf gesunde Knoten starteten, was während des Diebstahls falsche Transaktionsgenehmigungen ermöglichte.
LayerZero sagte außerdem, dass die beim Angriff verwendete Malware darauf ausgelegt war, sich danach selbst zu löschen. Das Unternehmen fügte hinzu, dass Kelp DAO ein Single-Verifier-System verwendet und nicht ein zuvor empfohlenes Multi-Verifier-Modell.