Организатор эксплойта Kelp DAO отмыл $80 миллионов через THORChain в сложной кросс-чейн операции

Киберпреступник, стоящий за разрушительным эксплойтом Kelp DAO на 290 млн $, успешно отмыл около 80 млн $ похищенного Ethereum через децентрализованный протокол обмена THORChain, что делает эту операцию одной из крупнейших операций по отмыванию денег в истории децентрализованных финансов. Изощрённая схема отмывочной торговли подтолкнула 24-часовой объём THORChain до колоссальных 394 млн $, что более чем в 11 раз превышает обычные дневные объёмы протокола, не достигающие 35 млн $.

Резкий скачок объёма на THORChain демонстрирует, как киберпреступники всё активнее используют децентрализованные кросс-чейн протоколы для сокрытия происхождения похищенной криптовалюты. Данная операция свидетельствует об эволюции методов криптовалютного отмывания за пределы традиционных миксеров, таких как Tornado Cash: злоумышленники теперь эксплуатируют встроенные функции конфиденциальности децентрализованных бирж для обработки огромных объёмов незаконных средств.

Исполнитель, предварительно связанный с печально известной северокорейской группой Lazarus Group, осуществил первоначальную атаку посредством изощрённой операции RPC-спуфинга, нацеленной на инфраструктуру кроссчейн-моста LayerZero компании Kelp DAO. Злоумышленники скомпрометировали два независимых узла, работающих на отдельных кластерах, заменили бинарные файлы узлов op-geth и провели мошеннические транзакции, обойдя недостаточную конфигурацию безопасности Kelp, которая требовала лишь одной проверки вместо нескольких подтверждений.

Эта операция по отмыванию через THORChain представляет собой осознанный сдвиг в криминальной методологии. В отличие от централизованных бирж, внедряющих строгие протоколы KYC и мониторинг транзакций, децентрализованная архитектура THORChain позволяет осуществлять анонимные кросс-чейн свопы без верификации личности. Встроенная возможность протокола обеспечивать беспрепятственный обмен между Bitcoin, Ethereum и другими основными криптовалютами создаёт идеальный инструмент для крупномасштабного сокрытия средств.

Огромный масштаб операции по отмыванию через THORChain подчёркивает растущую изощрённость спонсируемых государством операций по краже криптовалют. В настоящее время Ethereum торгуется на уровне 2 350,75 $, прибавив 1,67% за последние 24 часа, что свидетельствует о том, что масштабная деятельность по отмыванию не оказала существенного влияния на общие настроения рынка. Тем не менее 80 млн $ составляют значительную долю от ежедневного объёма торгов Ethereum в 17,6 млрд $, что указывает на потенциальное рыночное влияние операции.

Выбор THORChain в качестве платформы для отмывания свидетельствует о глубоком знании протоколов DeFi и их операционных характеристик. Пулы непрерывной ликвидности THORChain и функциональность AMM позволяют проводить крупные транзакции без проскальзывания цены, которое обычно характерно для таких значительных объёмов на централизованных платформах. Этот технический уровень соответствует оценкам разведки о киберпотенциале Северной Кореи, демонстрирующем растущую изощрённость в операциях DeFi.

Время проведения данной операции по отмыванию совпадает с усилением регуляторного контроля над протоколами кроссчейн-мостов после многочисленных резонансных эксплойтов в 2025 и 2026 годах. Инцидент с Kelp DAO, изначально приписанный инфраструктуре безопасности LayerZero, но впоследствии объяснённый собственными конфигурационными решениями Kelp, выявил фундаментальные уязвимости в протоколах кросс-чейн коммуникации, обеспечивающих массовые переводы средств между различными блокчейн-сетями.

Анализ рынка показывает, что данная техника отмывания использует критический пробел в современных возможностях блокчейн-криминалистики. Хотя он-чейн обработка отслеживания транзакций остаётся надёжной в рамках отдельных блокчейн-сетей, кросс-чейн протоколы, такие как THORChain, создают аналитические слепые зоны, которые могут эксплуатировать опытные злоумышленники. Структура протокола, сжигающего нативные токены RUNE и выпускающего эквивалентные активы в целевых сетях, формирует сложные пути транзакций, которые традиционным инструментам блокчейн-анализа трудно эффективно отследить.

Скачок объёма до 394 млн $ также демонстрирует огромную ликвидность, доступную в рамках децентрализованных бирж, что предполагает возможность поглощения даже более крупных операций по отмыванию без срабатывания автоматических предохранителей или предупреждений о необычной активности. Такая глубина ликвидности создаёт постоянные проблемы для регуляторов и правоохранительных органов, пытающихся отслеживать и предотвращать крупномасштабное криптовалютное отмывание денег.

Профессиональные охранные компании, отслеживающие похищенные средства, сообщают, что в операции по отмыванию применялись изощрённые механизмы синхронизации, вероятно, разработанные для смешивания крупных транзакций с законной торговой активностью в часы пиковой активности рынка. Такой подход минимизирует обнаружение автоматизированными системами мониторинга, которые фиксируют необычные объёмные паттерны или размеры транзакций относительно исторических норм.

Успешное отмывание 80 млн $ через THORChain при сохранении операционной безопасности представляет собой тревожный рубеж в изощрённости криптовалютной преступности. Традиционные инструменты правоохранительных органов, разработанные для централизованных финансовых систем, оказываются неэффективными против децентрализованных протоколов, функционирующих в нескольких юрисдикциях без централизованного контроля или механизмов соответствия требованиям.

Этот инцидент подчёркивает критическую необходимость усиления мер безопасности в протоколах DeFi, особенно тех, которые обеспечивают кросс-чейн транзакции. Сочетание значительных финансовых стимулов, изощрённых технических возможностей и возможностей регуляторного арбитража продолжает привлекать группы продвинутых постоянных угроз в криптовалютную экосистему.

Поскольку Ethereum сохраняет позицию второй по величине криптовалюты с рыночной капитализацией 284,1 млрд $ и долей рынка 10,98%, успешное отмывание столь значительных сумм через децентрализованную инфраструктуру подчёркивает непрекращающуюся эволюцию преступности в сфере цифровых активов и соответствующую необходимость в адаптивных системах безопасности.