Lazarus 小組正透過比特幣洗去 KelpDAO 遭竊的 2.9 億美元資金

與朝鮮 Lazarus 小組有關的黑客目前正在積極洗去從 DeFi 協議 KelpDAO 竊取的 2.9 億美元加密貨幣，資金正跨越乙太坊和比特幣網絡轉移。

包括 ZachXBT 在內的鏈上分析師以及 Arkham 和 PeckShield 等公司的鏈上數據證實了這些資金流動，相關活動始於週二歐洲交易時段。

根據區塊鏈調查人員的說法，洗錢過程涉及乙太坊上兩筆分別為 1.17 億美元和 5,800 萬美元的大額轉帳，其中至少有 150 萬美元透過 THORChain 跨鏈至比特幣，還有較小金額透過隱私協議 Umbra 進行路由。

此次攻擊是 2026 年規模最大的安全事件之一，凸顯了 DeFi 領域持續存在的安全風險，並導致部分資金被凍結，這給攻擊者帶來了壓力，迫使其在剩餘的 1.75 億美元資金被封鎖前儘快轉移。

深入解讀

事件始於 4 月 18 日，攻擊者利用了流動性再質押協議 KelpDAO 的漏洞，捲走了價值約 2.9 億美元的 116,500 枚 rsETH 代幣。攻擊向量涉及攻破 LayerZero 消息協議的伺服器，KelpDAO 使用該協議進行跨鏈通信。透過發送偽造的消息，黑客授權了非法轉帳。此後引發了一場公開爭議，LayerZero 指責 KelpDAO 特定的「單一 DVN」安全設置存在問題，而 KelpDAO 對這一描述表示異議。

盜竊發生後，攻擊者開始了複雜的洗錢行動。其採用的跨鏈橋（如 THORChain）和隱私工具（如 Umbra）等技術，與此前歸因於 Lazarus 小組的手法高度一致。該操作涉及拆分資金並將其透過多個渠道轉移，以掩蓋其來源。

在一次重大干預中，Arbitrum 安全理事會根據執法部門提供的資訊，在被盜的 30,766 枚 ETH（價值超過 7,100 萬美元）被跨鏈轉出其網絡前將其凍結。此舉雖然因追回了大部分資金而受到稱讚，但也引發了關於 Layer-2 生態系統內中心化程度和緊急權力的爭論。

後續展望

部分資金的凍結似乎迫使攻擊者加快了行動，加緊洗去剩餘的 1.75 億美元。鏈上數據顯示，資金正積極從乙太坊路由至比特幣，這表明攻擊者正與時間賽跑，試圖在中心化凍結觸及資產前將其轉移。

調查人員正在密切追踪流向與 Lazarus 小組子團隊「TraderTraitor」相關的錢包資金。此次黑客攻擊的規模和複雜的洗錢技術可能會引發監管機構的強烈反應，監管機構可能會加強對跨鏈橋和隱私混幣器的審查，視其為非法資金流動的主要渠道。該事件是對執法部門鏈上追踪能力以及 DeFi 社群應對和緩解大規模安全漏洞能力的嚴峻考驗。

本文僅供參考，不構成投資建議。