Lazarus 小组正通过比特币洗去 KelpDAO 遭窃的 2.9 亿美元资金

与朝鲜 Lazarus 小组有关的黑客目前正在积极洗去从 DeFi 协议 KelpDAO 窃取的 2.9 亿美元加密货币，资金正跨越以太坊和比特币网络转移。

包括 ZachXBT 在内的链上分析师以及 Arkham 和 PeckShield 等公司的链上数据证实了这些资金流动，相关活动始于周二欧洲交易时段。

根据区块链调查人员的说法，洗钱过程涉及以太坊上两笔分别为 1.17 亿美元和 5,800 万美元的大额转账，其中至少有 150 万美元通过 THORChain 跨链至比特币，还有较小金额通过隐私协议 Umbra 进行路由。

此次攻击是 2026 年规模最大的安全事件之一，凸显了 DeFi 领域持续存在的安全风险，并导致部分资金被冻结，这给攻击者带来了压力，迫使其在剩余的 1.75 亿美元资金被封锁前尽快转移。

深入解读

事件始于 4 月 18 日，攻击者利用了流动性再质押协议 KelpDAO 的漏洞，卷走了价值约 2.9 亿美元的 116,500 枚 rsETH 代币。攻击向量涉及攻破 LayerZero 消息协议的服务器，KelpDAO 使用该协议进行跨链通信。通过发送伪造的消息，黑客授权了非法转账。此后引发了一场公开争议，LayerZero 指责 KelpDAO 特定的“单一 DVN”安全设置存在问题，而 KelpDAO 对这一描述表示异议。

盗窃发生后，攻击者开始了复杂的洗钱行动。其采用的跨链桥（如 THORChain）和隐私工具（如 Umbra）等技术，与此前归因于 Lazarus 小组的手法高度一致。该操作涉及拆分资金并将其通过多个渠道转移，以掩盖其来源。

在一次重大干预中，Arbitrum 安全理事会根据执法部门提供的信息，在被盗的 30,766 枚 ETH（价值超过 7,100 万美元）被跨链转出其网络前将其冻结。此举虽然因追回了大部分资金而受到称赞，但也引发了关于 Layer-2 生态系统内中心化程度和紧急权力的争论。

后续展望

部分资金的冻结似乎迫使攻击者加快了行动，加紧洗去剩余的 1.75 亿美元。链上数据显示，资金正积极从以太坊路由至比特币，这表明攻击者正与时间赛跑，试图在中心化冻结触及资产前将其转移。

调查人员正在密切追踪流向与 Lazarus 小组子团队“TraderTraitor”相关的钱包资金。此次黑客攻击的规模和复杂的洗钱技术可能会引发监管机构的强烈反应，监管机构可能会加强对跨链桥和隐私混币器的审查，视其为非法资金流动的主要渠道。该事件是对执法部门链上追踪能力以及 DeFi 社区应对和缓解大规模安全漏洞能力的严峻考验。

本文仅供参考，不构成投资建议。