Arbitrum заморожує 30K ETH у хакінгу KelpDAO, оскільки зловмисник перекидає кошти на Bitcoin - CoinJournal

• Arbitrum заморозив 30 766 ETH перед тим, як їх можна було вивести.
• Зловмисник перемістив 75 701 ETH і почав маршрутизувати кошти до Біткоїна.
• Через кілька паралельних потоків відмивається понад 176 мільйонів доларів.

Arbitrum заблокував значну частину коштів, пов’язаних з експлойтом KelpDAO, навіть коли зловмисник намагається вивести залишки активів за межі доступу.

Рада безпеки Arbitrum підтвердила, що вона заморозила 30 766 ETH, вартість яких на момент дії становила понад 70 мільйонів доларів.

Кошти були прив’язані до адреси, пов’язаної з зловмисником KelpDAO, і були заблоковані до того, як їх можна було вивести з мережі.

Захід був здійснений після координації з правоохоронними органами, що свідчить про те, що у правоохоронців вже є дані про особу зловмисника.

Рада безпеки Arbitrum вжила надзвичайних заходів для замороження 30 766 ETH, що зберігаються на адресі в Arbitrum One, пов’язаній з експлойтом KelpDAO. Рада діяла за участю правоохоронних органів щодо особи зловмисника і, на всіх етапах,…

— Arbitrum (@arbitrum) 21 квітня 2026

Гонка з часом

Блокчейн-розслідувачі, зокрема PeckShield, попереджали, що зловмисник вже намагається перемістити кошти з Arbitrum за допомогою вбудованого мосту.

Якщо б цей переказ був завершений, ETH, ймовірно, приєднався б до набагато більшого пулу викрадених активів, вже обігу на інших ланцюгах.

Завдяки своєчасному втручанню Arbitrum запобіг приблизно 29% викрадених коштів потрапити у канал відмивання. Однак решта активів не пощастило.

Сам експлойт KelpDAO оцінюється приблизно у 290 мільйонів доларів, що робить його одним із найбільших зломів у сфері децентралізованих фінансів 2026 року.

Зловмисник швидко діяв після початкового зламу, розподіляючи кошти між кількома гаманцями та ланцюгами, щоб зменшити сліди.

Відмивання переходить до Біткоїна

Після заморожування зловмисник прискорив спроби перемістити залишки коштів.

Дані показують, що приблизно 75 701 ETH, вартістю близько 175 мільйонів доларів, було переведено на основний мережевий Ethereum.

Звідти кошти почали переміщатися у Біткоїн через децентралізовані протоколи, такі як THORChain, Chainflip і Umbra Cash, які дозволяють прямі крос-ланцюгові обміни без використання централізованих бірж.

#PeckShieldAlert Зловмисник @KelpDAO почав відмивати викрадені кошти (~$176М).

Вони почали мостити невеликі партії коштів з #Ethereum до $BTC через @THORChain, @UmbraCash, @chainflip і @BitTorrent. pic.twitter.com/4cm8dOjTWL

— PeckShieldAlert (@PeckShieldAlert) 21 квітня 2026

Аналітики PeckShield зауважили, що зловмисник залишив у деяких гаманцях лише близько 0,7 ETH, достатньо для покриття транзакційних зборів, тоді як решту коштів він вивів у нові маршрути.

Ця модель свідчить про високий рівень операційної дисципліни та планування.

Ще 176 мільйонів доларів викрадених коштів також активно переміщуються у паралельних транзакціях.

Замість того, щоб відмивати все в одному потоці, зловмисник, здається, веде кілька потоків одночасно.

Такий поетапний підхід зменшує ризик однієї точки відмови і ускладнює процес відновлення.

Чи пов’язана з експлойтом KelpDAO відома група Lazarus з Північної Кореї?

Масштаб і координація операції змусили слідчих пов’язати експлойт із групою Lazarus з Північної Кореї, зокрема підгрупою TraderTraitor.

Це приписування базується на моделях транзакцій і методах відмивання, що відповідають попереднім операціям цієї групи.

Lazarus має довгу історію цілеспрямованих атак на крипто-платформи та використання складних крос-ланцюгових стратегій для приховування викрадених коштів.

Використання децентралізованих мостів і швидке конвертування активів, що спостерігається у випадку KelpDAO, тісно відповідає цій схемі.