Kelp DAO攻击者利用隐私协议完成大规模资金转移

针对近期引发广泛关注的Kelp DAO安全事件，调查显示，攻击方已通过多重隐私技术手段转移约2.2亿美元未冻结资产，显著削弱了链上追踪能力。目前原始攻击钱包仅余约170万美元，其余资金经由复杂跨链路径实现匿名化处理。

跨链清洗活动启动于攻击后次日

在Arbitrum安全委员会于4月20日实施资产冻结措施后，攻击者迅速展开资金转移。数据显示，4月21日当天，超过7.5万枚以太坊（价值约1.75亿美元）被转入新生成的地址，分三笔操作：其中约5.07万枚分配至两个账户，另2.5万枚进入第三个地址，标志大规模清洗流程正式开启。

同日，链上分析发现首例跨链行为——三笔总计约150万美元的转账经由THORChain完成，另有约7.8万美元通过以太坊隐私协议Umbra进行隐蔽转移。此后，THORChain的日交易量激增至约3.94亿美元，较常规水平高出十倍以上，成为关键清洗节点。

多层匿名路径揭示攻击者预谋布局

进一步追踪显示，攻击者采用复合式匿名策略：先通过Wasabi CoinJoin将以太坊转换为比特币，再借助Tornado Cash完成资金循环，并最终转回以太坊生态。该模式此前已被确认与名为TraderTraitor的组织存在高度关联，而该组织被指受朝鲜政权支持，与Lazarus行动有深层联系。

调查还发现，漏洞利用前约十小时，攻击钱包即通过Tornado Cash注入资金用于支付交易费用，表明其具备长期规划与资源储备能力。当前可追回资产主要集中在Arbitrum平台冻结的30,766枚以太坊，估值约7100万美元，仍处于司法管辖范围之内。

5月1日，美国纽约南区地方法院发布限制令，依据对朝鲜方面总额超8.77亿美元的未偿恐怖主义判决，启动相关资产没收程序。与此同时，Kelp DAO联合DeFi United联盟推出恢复方案，成功返还约11.6万枚rsETH给受影响用户。因攻击者滥用抵押品导致的约1.9亿美元坏账，由Aave安全模块承担。

5月18日发布的最终报告确认此次事件系由TraderTraitor组织实施，其与Lazarus集团存在广泛协作关系。鉴于绝大多数未冻结资金已彻底脱敏，后续追索重点将转向执法合作与冻结资产处置，而非直接追踪钱包地址。