Rastros na rede mostram que o invasor ligado à RPDC por trás da exploração da ponte de US$ 292 milhões em abril empurrou os ~ US$ 220 milhões descongelados através de THORChain, Wasabi, Tornado Cash e Umbra, deixando cerca de US$ 1,7 milhão ainda na carteira original.
O hacker da ponte Kelp DAO lavou quase todos os cerca de US$ 220 milhões em fundos descongelados que sobraram do exploit LayerZero de US$ 292 milhões de abril, com analistas da rede da Arkham Intelligence rastreando apenas cerca de US$ 1,7 milhão ainda estacionados na carteira original do explorador.
A drenagem através dos trilhos de privacidade acaba com a chance prática de recuperação ativo por ativo na parte descongelada do transporte, deixando apenas os US$ 71 milhões em Ether congelados pelo Conselho de Segurança da Arbitrum em 20 de abril como a fatia materialmente recuperável. A resolução em nível de protocolo – a migração da ponte rsETH da Kelp para o Chainlink CCIP e seu plano DeFi United que restaurou cerca de 116.000 rsETH para os usuários – aconteceu em paralelo; o que está se encerrando agora é o arco de rastreamento de ativos.
O relatório de incidente da LayerZero de 18 de maio, co-preparado com Mandiant, CrowdStrike e zeroShadow, atribuiu o ataque ao ator TraderTraitor da RPDC – também rastreado como UNC4899 e parte do Grupo Lazarus mais amplo – a mesma tripulação ligada ao roubo paralelo de US$ 285 milhões do Drift na mesma semana.
Como os fundos foram movidos
A cascata de lavagem começou em 21 de abril, um dia após o congelamento da Arbitrum, quando a carteira do explorador empurrou 75.701 ETH no valor de cerca de US$ 175 milhões em três transações para endereços Ethereum recém-criados – 50.700 ETH em duas novas carteiras e 25.000 ETH em uma terceira, de acordo com o rastreamento de Arkham.
A partir daí, os fundos entraram em uma pilha de privacidade multicamadas. O investigador da rede ZachXBT sinalizou os primeiros movimentos de lavagem entre cadeias no mesmo dia – três transações THORChain totalizando cerca de US$ 1,5 milhão e uma transferência de US$ 78.000 através do Umbra, o protocolo de privacidade Ethereum. O fluxo cresceu rápido o suficiente para elevar o volume de swap de 24 horas do THORChain para US$ 394 milhões, mais de dez vezes sua atividade diária normal.
O padrão completo, conforme reconstruído pelo analista da rede Spectre, era um ciclo de duas camadas: o éter conectado ao Bitcoin por meio do mixer Wasabi CoinJoin e depois roteado de volta ao Ethereum por meio das rodadas de depósito e retirada do Tornado Cash. As empresas de segurança PeckShield e Cyvers estimaram que cerca de US$ 176 milhões da pilha roubada foram movidas pelo corredor THORChain-Umbra-BitTorrent na primeira onda.
O gás inicial do explorador foi pré-financiado via Tornado Cash cerca de dez horas antes da drenagem da ponte – Cyvers sinalizou o depósito na época como uma configuração exclusiva do TraderTraitor.
O que Kelp DAO ainda pode alcançar
O congelamento de US$ 71 milhões da Arbitrum continua sendo a única parcela considerável dos US$ 292 milhões originais ao alcance de qualquer processo de recuperação, e é contestado. O Tribunal Distrital dos EUA para o Distrito Sul de Nova York emitiu uma ordem de restrição em 1º de maio impedindo o Arbitrum DAO de movimentar os mesmos 30.766 ETH, depois que famílias com três sentenças de terrorismo não pagas contra a Coreia do Norte – totalizando mais de US$ 877 milhões – entraram com pedido de confisco da pilha congelada.
A correção no nível do usuário já foi tratada separadamente. Kelp reabriu a funcionalidade completa do rsETH no final de maio, depois que o consórcio DeFi United – cobrindo Aave, Karak, EigenLayer e o próprio Kelp – encerrou o programa de restauração do rsETH. Os cerca de US$ 190 milhões em dívidas inadimplentes que o invasor acumulou no Aave ao depositar rsETH roubado como garantia foram absorvidos em grande parte por meio do módulo de segurança do Aave.
O que resta é a perspectiva de trabalhar no próprio rastro de lavagem. A Chainalysis vinculou atores ligados à RPDC a US$ 2,02 bilhões em roubos de criptografia somente em 2025, elevando o valor acumulado para US$ 6,75 bilhões; a recuperação dos US$ 220 milhões do Kelp agora depende da mesma postura de fiscalização que o Tesouro adota contra as carteiras IRGC-Qods Force Tron e que o Tether aplicou por meio de congelamentos coordenados de USDT – e não do rastreamento das carteiras até um custodiante.
O arco Kelp começou como uma falha na configuração da ponte documentada no post-mortem do LayerZero, que empurrou o padrão do LayerZero para uma configuração DVN 3 de 3. Agora termina sem os fundos.
Fontesthedefiant
