Організатор експлойту Kelp DAO відмиває $80 мільйонів через THORChain у складній кросчейн операції
Кіберзлочинець, який стоїть за руйнівним експлойтом Kelp DAO на 290 мільйонів доларів, успішно відмив приблизно 80 мільйонів доларів у вигляді викраденого ETH через децентралізований протокол біржі THORChain, що стало однією з найбільш значущих операцій з відмивання грошей в історії децентралізованих фінансів. Складна схема відмивання підштовхнула 24-годинний обсяг THORChain до надзвичайних 394 мільйонів доларів, що більш ніж у 11 разів перевищує типові щоденні обсяги протоколу, які зазвичай не перевищують 35 мільйонів доларів.
Різке зростання обсягів на THORChain демонструє, як кіберзлочинці дедалі активніше використовують децентралізовані кросчейн протоколи для приховування походження викраденої криптовалюти. Ця конкретна операція демонструє еволюцію технік криптовідмивання, що виходять за межі традиційних міксер-сервісів на кшталт Tornado Cash, — зловмисники тепер експлуатують вбудовані функції конфіденційності децентралізованих бірж для обробки масштабних обсягів незаконних коштів.
Виконавець злочину, попередньо пов'язаний з горезвісною північнокорейською групою Lazarus Group, здійснив початкову атаку через складну RPC-спуфінг операцію, спрямовану проти інфраструктури кросчейн мосту LayerZero компанії Kelp DAO. Зловмисники скомпрометували два незалежних вузли, що працювали на окремих кластерах, замінили бінарні файли, які виконували op-geth вузли, та провели шахрайські транзакції, що обійшли недостатні конфігурації безпеки Kelp, які вимагали лише однієї верифікації замість кількох підтверджень.
Ця операція з відмивання через THORChain є свідомим зміщенням у злочинній методології. На відміну від централізованих бірж, які впроваджують надійні протоколи KYC та моніторинг транзакцій, децентралізована архітектура THORChain уможливлює анонімні кросчейн свопи без верифікації особи. Природна здатність протоколу забезпечувати безперешкодний обмін між Bitcoin, ETH та іншими основними криптовалютами надає ідеальний інструмент для великомасштабного обфускування коштів.
Масштаб операції з відмивання через THORChain підкреслює зростаючу витонченість операцій із крадіжки криптовалюти, що фінансуються державою. ETH наразі торгується на рівні $2 350,75, зріставши на 1,67% за останні 24 години, що свідчить про те, що масштабна діяльність з відмивання не вплинула суттєво на загальні ринкові настрої. Однак 80 мільйонів доларів становлять значну частку від щоденного обсягу торгівлі ETH у 17,6 мільярда доларів, що свідчить про потенційний ринковий вплив операції.
Вибір THORChain як місця для відмивання свідчить про глибоке знання протоколів DeFi (Децентралізовані фінанси) та їх операційних характеристик. Пули безперервної ліквідності та функціонал автоматизованого маркет-мейкера (AMM) THORChain уможливлюють великі транзакції без цінового прослизання, зазвичай пов'язаного з такими значними обсягами на централізованих платформах. Ця технічна експертиза узгоджується з розвідувальними оцінками кіберможливостей Північної Кореї, які демонструють зростаючу витонченість у DeFi операціях.
Терміни цієї операції з відмивання збігаються з ширшою регуляторною перевіркою протоколів кросчейн мостів після численних резонансних експлойтів протягом 2025 та 2026 років. Інцидент із Kelp DAO, який спочатку приписували інфраструктурі безпеки LayerZero, перш ніж вину було покладено на власні конфігураційні рішення Kelp, виявив фундаментальні вразливості в протоколах кросчейн комунікації, що дозволяють масштабне переміщення коштів між різними мережами блокчейнів.
Ринковий аналіз свідчить, що ця техніка відмивання використовує критичну прогалину в поточних можливостях блокчейн-форензики. Хоча ончейн обробка транзакцій залишається надійною в межах окремих мереж блокчейнів, кросчейн протоколи на кшталт THORChain створюють аналітичні сліпі зони, якими можуть скористатися досвідчені зловмисники. Дизайн протоколу, який спалює нативні RUNE токени та карбує еквівалентні активи в цільових мережах, створює складні шляхи транзакцій, які традиційним інструментам блокчейн-аналізу важко ефективно відстежити.
Стрибок обсягів до 394 мільйонів доларів також демонструє масштабну ліквідність, доступну в децентралізованих біржах, що свідчить про те, що навіть більш масштабні операції з відмивання потенційно можуть бути поглинуті без спрацювання автоматичних запобіжників або сповіщень про незвичну активність. Ця глибина ліквідності продовжує створювати проблеми для регуляторів та правоохоронних органів, які намагаються відстежувати та запобігати великомасштабному криптовалютному відмиванню грошей.
Професійні компанії з безпеки, які відстежують викрадені кошти, повідомляють, що операція з відмивання використовувала складні механізми часування, імовірно розроблені для того, щоб змішати великі транзакції з легітимною торговою активністю в години пік. Такий підхід мінімізує виявлення автоматизованими системами моніторингу, які фіксують незвичні паттерни обсягів або розміри транзакцій відносно історичних норм.
Успішне відмивання 80 мільйонів доларів через THORChain зі збереженням операційної безпеки є тривожним рубежем у витонченості криптозлочинності. Традиційні правоохоронні інструменти, розроблені для централізованих фінансових систем, виявляються неефективними проти децентралізованих протоколів, що функціонують у різних юрисдикціях без центрального нагляду або механізмів відповідності.
Цей інцидент підкреслює нагальну потребу в посилених заходах безпеки для протоколів DeFi (Децентралізовані фінанси), особливо тих, що забезпечують кросчейн транзакції. Поєднання суттєвих фінансових стимулів, витончених технічних можливостей та можливостей регуляторного арбітражу продовжує приваблювати групи із розвиненими постійними загрозами до криптовалютної екосистеми.
Поки ETH зберігає свою позицію другої за величиною криптовалюти з ринковою капіталізацією 284,1 мільярда доларів та 10,98% ринкової домінації, успішне відмивання таких значних сум через децентралізовану інфраструктуру підкреслює триваючу еволюцію злочинності у сфері цифрових активів та відповідну потребу в адаптивних системах безпеки.
