链上分析师 Specter 监测显示,朝鲜黑客组织 TraderTraitor 于 4 月 22 日开始对 KelpDAO 被盗资金实施洗钱操作,距 Arbitrum 安全委员会冻结约 30,766 枚 ETH 后仅三小时。攻击者将资金以 THORChain 桥接至比特币网络,导致日交易超过 30 日日均值 10 倍。
洗钱操作细节:三个钱包、混合手法与跨链转移
(来源:Arkham)
攻击者将剩余资金拆分至三个钱包:第一个持有约 2.5 万枚 ETH(约 5,760 万美元),第二个持有约 2.57 万枚 ETH(约 5,920 万美元),第三个在收到资金后立即开始洗钱,目前仅剩约 3,800 枚 ETH(约 800 万美元)。
被盗资金在洗钱过程中与 BTC Turk(2025)及 Bybit(2025)黑客事件的非法所得相混合,这是 TraderTraitor 组织的典型操作模式——通过整合多起事件的资金,增加链上追踪难度。Specter 指出,虽然其追踪到 356 个相关地址,但仍有若干中间钱包未纳入统计,整个过程使用的地址总数超过 400 个。
KelpDAO 攻击的连锁影响:Aave 坏账到 DeFi TVL 骤降
根据 Messari 分析,此次攻击的根本原因在于 LayerZero EndpointV2 的 1:1 DVN 配置,允许攻击者伪造跨链消息。攻击者入侵两个 LayerZero DVN 节点后,模拟 rsETH 销毁并触发了 116,500 个 rsETH 的未授权释放。
下游影响迅速蔓延至整个 DeFi 生态:Aave 坏账估计在 1.237 亿至 2.301 亿美元之间,TVL 从约 458 亿美元降至 357 亿美元;整体 DeFi TVL 在 48 小时内下降超过 130 亿美元;AAVE 代币下跌约 25%;WETH 市场达到 100% 的使用率,引发 62 亿美元的资金外流。
早期应对措施与 rsETH 持有者补偿计划
主要应对措施包括:Arbitrum 安全委员会冻结约 30,766 枚 ETH;Kelp 暂停主网和 L2 层所有 rsETH 合约;LayerZero 禁止未来使用 1:1 DVN 配置。Kelp 正考虑对 rsETH 持有者采取 16% 的比例损失补偿措施,但 Messari 指出,此举可能影响受影响协议的用户信心和恢复动态。
常见问题
TraderTraitor 为何选择 THORChain 作为洗钱通道?
THORChain 是无需许可的跨链流动性协议,允许在不同区块链之间兑换资产且不要求 KYC 验证。此前在 Bybit 黑客事件中,TraderTraitor 也采用了相同的 THORChain 通道,显示这已成为朝鲜黑客组织在大规模窃盗后固定的操作模式。
此次洗钱为何要与 Bybit 和 BTC Turk 事件的资金混合?
资金混合是洗钱的标准操作手法,将多起事件的被盗资金合并后,使追踪人员更难以识别特定资金的原始来源和归属。KelpDAO 被盗资金在 THORChain 流通过程中,已与 2025 年 BTC Turk 及 Bybit 黑客事件的非法资金相混合,形成更难解开的资金链。
Kelp 的 16% 比例损失补偿计划如何影响 rsETH 持有者?
若补偿计划最终确认,rsETH 持有者将按持仓比例承担约 16% 的损失,即每 100 个 rsETH 的持有者,资产名义价值将被打折约 16%。补偿机制有助于部分缓解受影响用户的损失,但也可能影响市场对 rsETH 及 Kelp 协议整体的信心恢复速度。
免责声明:以上内容(如有图片或视频亦包括在内)均为平台用户上传并发布,本平台仅提供信息存储服务,对本页面内容所引致的错误、不确或遗漏,概不负任何法律责任,相关信息仅供参考。
本站尊重他人的知识产权、名誉权等法律法规所规定的合法权益!如网页中刊载的文章或图片涉及侵权,请提供相关的权利证明和身份证明发送邮件到qklwk88@163.com,本站相关工作人员将会进行核查处理回复
