Kelp DAO 駭客事件：攻擊者幾乎抽空全部 2.93 億美元 ETH，僅留凍結資金

負責 Kelp DAO 約 2.93 億美元駭客攻擊的攻擊者據稱已執行了一次快速轉手洗錢操作，在竊取資金數天後，將幾乎所有被洗白的 ETH 從統計交易活動中轉移出去。這大大減少了潛在的追回選項，僅剩下 Arbitrum 安全治理中剩餘的凍結資金。

被盜資金的快速流動

區塊鏈追蹤顯示，攻擊者於週二開始分散被盜資金，距離攻擊事件（週六，當時約 116,500 枚再質押以太幣 rsETH 從 Kelp DAO 基於 LayerZero 的橋接協議中被竊取）僅數天。當時被盜的存款價值約 2.9 億至 2.93 億美元。

攻擊者首先將約 75,700 枚 ETH 匯集到新錢包中，當時市值約為 1.75 億美元。這一步驟在策劃攻擊的初期很常見，旨在將漏洞利用交易與洗錢過程分離。

隨後，這些資金通過多個資金轉手節點，利用一系列去中心化隱私和流動性工具，試圖掩蓋交易路徑和所有權痕跡。

據信，大部分洗錢活動是透過 THORChain 進行的，這是一個跨鏈流動性網絡，無需中央對手方即可促進不同鏈之間的交換。根據區塊鏈分析，攻擊者被認為已在該平台上將大部分以太幣兌換為比特幣 (BTC)。

這項活動為該協議（涉及 IOU、USDT 和 USDC 的交易）帶來了數十億美元（211% 投資回報率）的交易費用，顯示了可替換去中心化流動性的無許可基礎設施如何被用於非法高交易量。據估計，此活動的費用價值（約 910,000 美元）凸顯了其影響。

即使在通過 THORChain 之後，部分資金仍被送往另一個名為 Umbra 的混幣協議，該協議使用機密技術構建。這額外的混淆層使得調查人員和分析公司更難追蹤這些資金。

截至週四，Arkham 的區塊鏈情報資訊顯示，攻擊者原始標記錢包中的大部分資金已被抽走，暗示其「洗錢行動」已接近完成。

Arkham 等鏈上情報平台發現，這些資金流動模式具有轉手特性，而非長期持有。

攻擊者並未將被盜資金保留在可識別的錢包中（這可能會引發針對攻擊者的協同追回行動），而是在極短的時間內將資金整合、跨資產轉換，並通過眾多中間持有帳戶。

分析師指出，從交易的快速步伐和設計來看，這些交易似乎是出於「套現」動機，而非操縱市場或協商贖金。

並非所有被盜資產都已轉換且仍被凍結。Arbitrum 安全委員會在追蹤到資金流入 Binance 後，凍結了約 30,766 枚 ETH。

這些資產被轉移到一個受治理控制的中間錢包中，目前不允許移動（除非通過協議層級治理）。

這批被凍結的資金現已成為該漏洞攻擊中最大的可追回部分，而其餘被盜 ETH 則已通過一系列混幣器和跨鏈交換，進一步掩蓋了其來源。

這次攻擊的目標是 Kelp DAO，一個利用流動性質押衍生品的再質押協議。攻擊者利用其 LayerZero 互操作性 rsETH 橋接系統的缺陷，得以提取大量再質押以太幣。

被盜資產 rsETH 是質押 ETH 頭寸的抽象，這些頭寸在去中心化金融結構中被重新利用以賺取額外收益。雖然高效，但這種可組合性可能導致在橋接基礎設施受到威脅時產生更大的系統性風險。

此類漏洞進一步凸顯了跨鏈 DeFi 基礎設施的現有危險，其中橋接協議和再質押的使用相互交織。通過 DeFi 協議快速洗錢的行為，既展示了 DeFi 的優勢，也暴露了其致命弱點：無許可金融。

一方面，DeFi 的開源和永久橋接流動性模型不受某些攻擊情境的影響，例如當前穩定幣橋接協議上的現有漏洞。相反地，這種開放性也有利於被利用，成為非法資金流動通道中的關鍵接入點。

同時，Arbitrum 治理系統的部分凍結揭示了緊急權力正轉移到去中心化安全委員會手中。但這些措施的效力越來越受到限制，因為攻擊者能夠多快地將資金轉移到多條鏈和隱私層。

由於大部分被盜價值已透過跨鏈交換和隱私混幣器分散到多條鏈上，調查將可能集中在 Arbitrum 治理下的凍結資金上。

對於調查人員而言，此案凸顯了去中心化金融中一個眾所周知的問題：一旦大量被盜資金被迅速地橋接、交換並匿名化，追回非法所得的機會便會限制在數小時或數天而非數週。