От кражи до возвращения на рынок: как «отмыли» 292 миллиона долларов?

marsbitОпубликовано 2026-04-26Обновлено 2026-04-26

Введение

Краткое содержание: 18 апреля хакеры из Северной Кореи похитили активы на сумму 292 миллиона долларов из Kelp DAO. Атака была тщательно спланирована: заранее созданы анонимные кошельки через Tornado Cash. Похищенные токены rsETH, которые могли быть заморожены, были быстро использованы в качестве залога в протоколах Aave и Compound для получения «чистого» ETH. Это вызвало банковский кризис в Aave. Затем средства были фрагментированы через множество кошелекoв. Ключевым этапом отмывания стал кросс-чейн обменник THORChain, который конвертировал ETH в Bitcoin, что значительно усложнило отслеживание из-за модели UTXO. Финальный этап — конвертация в USDT в сети Tron и вывод через азиатские OTC-брокеров в фиатные деньги, которые в конечном итоге финансируют северокорейские программы.

Редакционное примечание: 18 апреля Kelp DAO подвергся атаке, в результате которой было похищено активов на сумму около 292 миллионов долларов. Как же в полностью публичной системе блокчейна эти деньги шаг за шагом были «отмыты» и превращены в ликвидные активы?

На примере этого инцидента в статье разбирается высокоиндустриализированный путь отмывания криптовалют: от подготовки анонимной инфраструктуры до атаки, использования Tornado Cash для разрыва связей в блокчейне; от залога «токсичных активов» в Aave и Compound для получения чистой ликвидности до увеличения сложности отслеживания в геометрической прогрессии с помощью THORChain, мостов и структуры UTXO, и, наконец, до попадания в систему USDT на Tron и обмена на наличные деньги в реальном мире через внебиржевую сеть.

В этом процессе нет сложных операций в черном ящике, почти каждый шаг осуществляется «по правилам». Именно поэтому этот путь раскрывает не единичные уязвимости, а структурное напряжение в системе DeFi под влиянием открытости, комбинируемости и неизменяемости — когда сам дизайн протокола допускает существование таких операций, так называемое «возвращение средств» перестает быть технической проблемой, а становится проблемой границ системы.

Таким образом, инцидент с Kelp DAO — это не просто инцидент безопасности, а скорее стресс-тест логики функционирования криптомира: он показывает, как хакер превращает ваши деньги в свои, и демонстрирует, почему эта система в принципе не может阻止 этот процесс.

Как вам известно, 18 апреля северокорейский хакер похитил из Kelp DAO 292 миллиона долларов. Спустя 5 дней более половины из них исчезли, фрагментировано рассыпавшись по тысячам кошельков, были обменены через неостанавливаемые протоколы и в конечном итоге направились в очень конкретный пункт назначения.

Интересно вот что: как превратить 292 миллиона долларов украденных криптоактивов, имеющих документальное подтверждение, в наличные деньги в карманах Пхеньяна, при этом никто не может этому помешать.

Цель этой статьи — показать, почему работает полный цикл современного отмывания криптовалют, почему его структурно невозможно остановить и что в конечном итоге покупается на каждый отмытый доллар.

Первый этап: Подготовка (За несколько часов до атаки)

Атакующий начал не с непосредственной кражи. Тактика группы Lazarus всегда начинается с подготовки инфраструктуры.

Примерно за 10 часов до атаки 8 новых кошельков были предварительно пополнены через Tornado Cash — микшер, который разрывает связь между источником и получателем средств.

Каждый кошелек получил по 0.1 ETH для оплаты комиссии Gas за все последующие операции. Поскольку средства этих кошельков поступили из микшера, у них нет записей KYC с бирж, нет истории транзакций, их нельзя связать ни с одним известным субъектом. Чистый лист.

Накануне атаки злоумышленник инициировал 3 межсетевые транзакции с Ethereum mainnet на Avalanche и Arbitrum — очевидно, с целью предварительного хранения Gas на этих двух L2 и тестирования операций через мост, чтобы обеспечить бесперебойность крупных переводов.

Второй этап: Кража

Отдельный кошелек инициатора атаки (0x4966...575e) вызвал функцию lzReceive в контракте LayerZero EndpointV2. Поскольку валидатор был успешно обманут, этот вызов был воспринят как законное межсетевое сообщение. Мостовой контракт Kelp, Kelp DAO: RSETH_OFTAdapter (адрес Etherscan: 0x85d...), затем выпустил 116 500 rsETH на адрес 0x8B1.

18% от общего объема rsETH в обращении. Один вызов функции — и все исчезло.

Спустя 46 минут, в 18:21 по UTC, аварийная мультиподпись Kelp приостановила протокол. В 18:26 и 18:28 по UTC злоумышленник попытался точно таким же образом провести еще две операции, каждый раз пытаясь похитить около 40 000 rsETH (каждая на сумму около 100 миллионов долларов). Обе попытки были откатаны из-за своевременного отключения Kelp. Если бы не это, общая сумма кражи могла бы приблизиться к 500 миллионам долларов.

Третий этап: Операции в Aave + Compound

rsETH — это токен-представитель, стоимость которого мгновенно обнуляется, как только Kelp приостанавливает мост или вносит украденные токены в черный список. У атакующего было всего несколько минут, чтобы конвертировать их в активы, которые нельзя заморозить. Kelp приостановил работу спустя 46 минут после кражи — это уже было слишком поздно.

Продажа 292 миллионов долларов неликвидных restaking-токенов на открытом рынке обрушила бы цену более чем на 30% за считанные минуты. Поэтому он не стал продавать, а использовал протоколы DeFi-кредитования как инструмент для быстрого отмывания.

Кошелек-получатель 0x8B1 перевел 116 500 украденных rsETH на другие 7 ответвленных кошельков. Каждое ответвление затем вошло в Aave и Compound V3, внесло часть rsETH в качестве залога и взяло в долг ETH.

Совокупная позиция 7 ответвлений выглядела следующим образом:

· Внесено залога: 89 567 rsETH

· Заимствовано: около 82 650 WETH + 821 wstETH, в сумме около 190 миллионов долларов чистых, ликвидных активов в Ethereum

· Коэффициент здоровья для каждого ответвления установлен на уровне от 1.01 до 1.03 — абсолютный предел, допустимый протоколом до ликвидации

Атакующий обменял эту партию rsETH общей стоимостью 292 миллиона долларов, уже помеченную и практически неликвидную, на 190 миллионов долларов в ETH. Когда эти rsETH в конечном итоге были помечены как почти бесполезные (поскольку мост Kelp стал неплатежеспособным и не мог выкупить их), убытки понесли вкладчики кредитных протоколов.

Когда рынок осознал, что у Aave находится более 2 миллиардов долларов плохих долгов, пользователи начали панически выводить средства. Aave потеряла 80 миллиардов долларов TVL (общей заблокированной стоимости) за 48 часов. Крупнейший протокол DeFi-кредитования пережил свою первую по-настоящему банковскую панику — а спусковым крючком послужил атакующий, который использовал его полностью в соответствии с дизайном протокола.

Четвертый этап: Консолидация и разделение средств

После завершения займов в Aave/Compound 7 ответвлений перевели занятые ETH на кошелек консолидации третьего уровня (0x5d3).

Вся операционная группа на этом этапе приобрела четкую трехуровневую структуру:

1. Получение: 0x8B1 (также пополнен через Tornado Cash), получил первоначально украденные 116 500 rsETH.

2. Операции: 7 ответвленных кошельков, пополненных через Tornado Cash, выполнили операции в Aave/Compound.

3. Консолидация: 0x5d3 заново собрал заемные средства объемом около 71 000 ETH, объединив их для процесса отмывания.

Затем средства были распределены по двум сетям:

· 75 700 ETH осталось в Ethereum mainnet

· 30 766 ETH в Arbitrum (около 71 миллиона долларов)

Комитет безопасности Arbitrum проголосовал за заморозку этой части активов в Arbitrum, переведя 71 миллион долларов на кошелек, контролируемый governance, который можно разблокировать только последующим голосованием управления.

Вскоре после заморозки хакер немедленно перевел оставшиеся ETH в mainnet и ускорил процесс отмывания. Судя по этим действиям, он явно не ожидал таких действий со стороны Arbitrum.

Пятый этап: Первая волна отмывания

Спустя четыре дня после атаки кошелек 0x5d3 начал опустошаться. Arkham отследил 3 независимые транзакции в течение нескольких часов.

Время было выбрано намеренно: европейская торговая сессия во вторник. Американские следователи еще отдыхали, европейские compliance-отделы разбирались с накопившимися с понедельника делами, азиатские биржи уже接近 к закрытию.

Затем модель переводов начала взрывообразно расширяться. Каждый пункт назначения первой волны немедленно снова делился: 0x62c7 отправил на около 60 новых сгенерированных кошельков, 0xD4B8 — еще на около 60. В течение нескольких часов первоначальный кластер из 10 кошельков расширился до 100+ одноразовых адресов, все пополнялись параллельно, каждый с суммой, достаточно малой, чтобы избежать обнаружения.

Lazarus запустил скрипт HD-кошельков — одна seed-фраза может математически вывести тысячи новых адресов за секунды, в сочетании с пулом воркеров (Python + web3, ethers.js или их собственные внутренние инструменты) для параллельной подписи и broadcast целого дерева адресов. Этот код они итеративно улучшают с 2018 года.

К концу этого этапа линейно прослеживаемая цепочка исчезла. Операционный кластер из 10 кошельков взорвался на 100+ фрагментированных кошельков, средства одновременно вошли в каналы конфиденциальности через десятки независимых входов.

Шестой этап: THORChain — машина для вывода

Настоящий разрыв связи произошел в THORChain.

THORChain — это децентрализованный протокол, поддерживающий обмен нативными активами между сетями. Вы отправляете ETH в Ethereum, а он возвращает вам BTC в сети Bitcoin.

Только за 22 апреля суточный объем обмена на THORChain достиг 460 миллионов долларов. Нормальный ежедневный объем этого протокола составляет около 15 миллионов долларов. Эта одна хакерская атака в одни сутки заняла в 30 раз больше, чем нормальное использование протокола.

В те же 24-часовые окно протокол принес 494 000 долларов дохода, распределенного между бондерами (операторами узлов), поставщиками ликвидности, фондом развития, интеграторами альянса и маркетинговым фондом.

В то же время средства текли также через набор меньших, но взаимодополняющих каналов конфиденциальности:

· Umbra: протокол стелс-адресов на Ethereum. Позволяет отправлять средства на одноразовые адреса, только получатель может вычислить этот адрес с помощью общего ключа. Мониторинги в блокчейне не могут узнать истинное назначение. Здесь было отслежено первоначальная активность на сумму около 78 000 долларов, затем инструменты потеряли след.

· Chainflip: еще один межсетевой DEX, похожий на THORChain.

· BitTorrent Chain: сайдчейн с низкой стоимостью и низким регулированием, подключенный к Tron.

· Tornado Cash: тот же микшер, что использовался для первоначального пополнения Gas. Министерство финансов США внесло его в санкционный список в 2022 году.

С каждым уровнем протокола стоимость отслеживания увеличивается примерно в 10 раз. После 5 уровней forensic-компании теоретически все еще могут отследить каждый фрагмент, но экономическая стоимость уже превышает ценность возможного возврата.

Седьмой этап: Фрагментация Bitcoin UTXO

Конвертация ETH в BTC через THORChain по сути превращает деньги в клочья бумаги.

Ethereum использует модель аккаунтов, ваш баланс — это число, прикрепленное к адресу, просто и прямо. Bitcoin другой, он использует модель UTXO (невоспользованный выход транзакции) — каждый UTXO представляет собой конкретный кусок монеты с полной историей транзакций. Каждая трата биткоинов разбивает и重新组合ляет эти куски, образуя новые.

Представьте, что вы рвете купюру в 100 долларов на 87 частей, затем каждую часть снова на 87 частей, и так 7 раз. Технически каждый фрагмент можно проследить до исходной купюры. Практически, ни одна ручная forensic-команда не может отслеживать тысячи параллельных цепочек в реальном времени и достаточно быстро собрать полную картину, чтобы предпринять действия.

Таким образом, THORChain одновременно выполнил две вещи: перевел средства через границу, которую не может пересечь никакая санкция, и раздробил средства в неотслеживаемую пыль.

Восьмой этап: Трек USDT на Tron

После прохождения через Bitcoin и слои конфиденциальности средства вновь собрались в одной конечной точке: USDT на Tron.

Большинство думает, что главное поле битвы за отмывание — это BTC, это ошибка. Настоящее главное поле битвы — это USDT на Tron. Данные показывают, что USDT-Tron ежегодно обрабатывает наибольший объем незаконных криптоактивов, превышая сумму всех остальных сетей.

В этом потоке средств Kelp конкретный путь был следующим: с BTC через мост на Tron, обмен на USDT, затем多次 переводов между адресами Tron. Каждый прыжок на Tron стоит极低,只需几分钱,就能再叠加 10层 фрагментации.

Девятый этап: Обналичивание — Крипто в кэш

Конечная точка каждой хакерской атаки — это когда деньги через определенную, хорошо задокументированную сеть человеческих посредников превращаются в фиатные наличные.

Группа внебиржевых (OTC) брокеров,活跃于中国大陆和东南亚, принимает депозиты в USDT-Tron и рассчитывается наличными в местной валюте. Эти брокеры по сути являются нелицензированными подпольными обменными пунктами. Они агрегируют потоки средств от множества клиентов (соответствующих и несоответствующих требованиям), проводят внутренний неттинг и рассчитываются фиатом через внутренние платежные сети Китая (UnionPay) — которые полностью работают вне системы SWIFT и beyond западных санкций.

С учетных записей, контролируемых этими брокерами, средства поступают на банковские счета, контролируемые КНДР, обычно зарегистрированные на shell-компании в Гонконге, Макао или юрисдикциях третьих стран. Затем с этих счетов, через хавала-подобные неформальные расчеты, физическую转运овку наличных и закупки компаний-прикрытий, средства переводятся обратно в Пхеньян.

Совет Безопасности ООН, ФБР и Министерство финансов США независимо задокументировали конечное назначение этих средств. Программа баллистических ракет КНДР, разработка ядерного оружия и обход международных санкций зависят от постоянной поддержки подобных потоков средств.

Согласно отчету ООН за 2024 год, хакерские атаки на криптовалюты составляют около 50% всех валютных поступлений КНДР, что делает их основным источником финансирования weapons программы — опережая экспорт угля, продажу оружия и экспорт рабочей силы вместе взятые.

[Оригинальное название]

Трендовые криптовалюты

Связанные с этим вопросы

QКаковы основные этапы отмывания 292 миллионов долларов, украденных из Kelp DAO?

AПроцесс включал девять этапов: подготовка анонимной инфраструктуры, кража активов, использование Aave и Compound для получения 'чистой' ликвидности, консолидация и разделение средств, первая волна отмывания через взрывное дробление, использование THORChain для разрыва связей и конвертации, фрагментация через биткоин UTXO, переход в USDT в сети Tron и окончательный обмен на фиатные деньги через OTC-брокеров.

QКакую роль сыграли протоколы Aave и Compound в этом процессе отмывания?

AХакер использовал Aave и Compound в качестве инструментов для отмывания: он заложил украденные rsETH (которые вскоре могли быть заморожены или обесценены) в качестве залога и взял кредит в ликвидном и 'чистом' ETH на сумму 1,9 миллиарда долларов. Таким образом, риск обесценивания токенов был переложен на депозиторов протоколов, а хакер получил неподдающиеся отслеживанию активы.

QПочему THORChain называют 'машиной для побега' в этом контексте?

ATHORChain, будучи децентрализованным кросс-чейн протоколом, позволил хакеру конвертировать ETH в биткоины, что эффективно разорвало цепочку отслеживания на блокчейне. Это не только переместило средства в другую сеть, но и воспользовалось моделью UTXO Биткоина для экспоненциального усложнения отслеживания из-за фрагментации транзакций.

QКакова конечная цель отмытых средств согласно статье?

AСогласно статье, окончательная цель отмытых средств — финансирование северокорейских программ, связанных с разработкой баллистических ракет и ядерного оружия. Средства через OTC-брокеров конвертируются в фиат, который затем поступает на счета, контролируемые КНДР, обходя международные санкции.

QКакие структурные особенности DeFi-системы делают подобное отмывание возможным и труднопредотвратимым?

AОткрытость, комбинируемость (composability) и неизменность DeСи-протоколов означают, что хакеры могут использовать их строго по правилам, но в злонамеренных целях. Такие действия, как предоставление залога в Aave или конвертация активов в THORChain, являются разрешенными функциями протоколов, что делает их структурно трудными для предотвращения без централизованного вмешательства, противоречащего децентрализованной природе экосистемы.

Похожее

Год действия закона GENIUS Act: Прогресс, пробелы и дальнейшие шаги

Год назад президент Дональд Трамп подписал закон GENIUS Act, но регуляторы до сих пор не завершили его реализацию. Ключевые агентства, такие как OCC, ФРС, FDIC и Министерство финансов, продолжают разрабатывать важные правила, касающиеся резервов эмитентов, требований к капиталу, ликвидности, хранения активов и управления рисками. Хотя срок окончательного утверждения норм истек 18 июля, консультации с общественностью по некоторым предложениям всё ещё продолжаются. Несмотря на нормативную неопределенность, отрасль стейблкоинов выросла до более чем 310 миллиардов долларов. Однако таким эмитентам, как Circle и Paxos, всё ещё приходится работать в условиях незавершенных стандартов ликвидности и хранения, что усложняет планирование и операционную устойчивость. Регуляторы планируют начать применять закон с 18 января 2027 года. Тем временем закон уже стимулирует институциональное участие: BlackRock, JPMorgan, Visa и другие крупные игроки запускают продукты, связанные со стейблкоинами. Законодатели, такие как сенатор Синтия Ламмис, призывают к дальнейшим шагам, включая принятие CLARITY Act, для укрепления лидерства США в сфере цифровых активов. Завершение оставшихся правил определит скорость широкого внедрения регулируемых стейблкоинов в финансовую систему страны.

ambcrypto4 ч. назад

Год действия закона GENIUS Act: Прогресс, пробелы и дальнейшие шаги

ambcrypto4 ч. назад

Всплеск на 70 миллиардов USDC в Solana: Бычий катализатор или «скрытый» риск для SOL?

Во второй половине 2026 года ликвидность становится ключевым фактором на рынке криптовалют. В то время как общая капитализация стейблкоинов сократилась, в экосистеме Solana наблюдается обратная тенденция: за год было выпущено (отчеканено) более 70 миллиардов долларов в USDC. Это увеличило ликвидность в сети, а количество ежемесячных активных пользователей Solana превысило 100 миллионов. Однако значительный приток стейблкоинов пока не привёл к устойчивому восстановлению. Цена SOL упала более чем на 35% в 2026 году, отставая от снижения Bitcoin. Также наблюдается спад в ключевых показателях активности сети: количество транзакций и торговый объём снизились по сравнению с первым кварталом. Это указывает на то, что растущая ликвидность, возможно, питает в основном спекулятивную активность, а не фундаментальный спрос. В итоге, несмотря на приток USDC, слабость ценового действия SOL и ончейн-активности сохраняется, что может создать риски для её восстановления во второй половине года.

ambcrypto5 ч. назад

Всплеск на 70 миллиардов USDC в Solana: Бычий катализатор или «скрытый» риск для SOL?

ambcrypto5 ч. назад

Стажер, 120 тысяч юаней в месяц

"Возможности трудоустройства ошеломляют". На этой неделе в соцсетях стало вирусным сообщение: студент класса Яо (элитная программа Университета Цинхуа) показал предложение о стажировке с ежедневной зарплатой в 5500 юаней до вычета налогов. Это составляет более 120 000 юаней в месяц. Хотя такая зарплата предназначена лишь для небольшого числа студентов, она демонстрирует ожесточенную конкуренцию за таланты в сфере ИИ. Компания DeepSeek, привлекшая первый раунд финансирования в 50 млрд юаней, активно расширяет штат и предлагает высокие зарплаты стажерам, особенно выпускникам элитных программ, таким как класс Яо. Другие технологические гиганты, включая Huawei, Tencent, ByteDance и Moon Dark Side (создатель Kimi), также усиливают "войну за таланты", предлагая щедрые пакеты компенсаций, включая высокие зарплаты, опционы на акции и участие в ключевых проектах, даже студентам и школьникам. На рынке труда ИИ наступил самый "безумный" год: годовые пакеты для выдающихся выпускников в ведущих компаниях могут достигать миллионов юаней, удваиваясь из года в год. Все больше молодых специалистов, часто в возрасте 20-30 лет и выпускников престижных вузов, занимают ключевые позиции, определяя будущее ИИ. Конкуренция в области ИИ — это не только гонка моделей и вычислительных мощностей, но и битва за плотность талантов, где молодое поколение начинает менять правила игры.

marsbit5 ч. назад

Стажер, 120 тысяч юаней в месяц

marsbit5 ч. назад

Прогноз цены Cronos: стоит ли трейдерам CRO готовиться к откату до $0,05?

16 июля Crypto.com объявил о стратегических инвестициях в размере 400 миллионов долларов от Citadel Securities, что вызвало рост курса Cronos (CRO) на 22% до локального максимума в 0,0677 доллара. Однако затем последовала коррекция на 15,9%. Технический анализ показывает неоднозначную картину. Индикатор Directional Movement Index (DMI) сигнализирует о сильном восходящем тренде, но индикатор балансового объема (OBV) указывает на относительно слабое давление покупателей по сравнению с маем. На 4-часовом графике цена CRO столкнулась с устойчивой зоной сопротивления в районе $0,062-$0,063, которая тестировалась уже четыре раза. Анализ карты ликвидаций показывает, что недавний всплеск цены ликвидировал множество коротких позиций в зоне $0,060-$0,065. Такие движения часто приводят к развороту тренда. Учитывая тестирование ключевого сопротивления и общую медвежью структуру на низких таймфреймах, в ближайшие дни вероятен спад цены CRO к уровню $0,05.

ambcrypto6 ч. назад

Прогноз цены Cronos: стоит ли трейдерам CRO готовиться к откату до $0,05?

ambcrypto6 ч. назад

Торговля

Спот

Популярные статьи

Как купить DAO

Добро пожаловать на HTX.com! Мы сделали приобретение DAO Maker (DAO) простым и удобным. Следуйте нашему пошаговому руководству и отправляйтесь в свое крипто-путешествие.Шаг 1: Создайте аккаунт на HTXИспользуйте свой адрес электронной почты или номер телефона, чтобы зарегистрироваться и бесплатно создать аккаунт на HTX. Пройдите удобную регистрацию и откройте для себя весь функционал.Создать аккаунтШаг 2: Перейдите в Купить криптовалюту и выберите свой способ оплатыКредитная/Дебетовая Карта: Используйте свою карту Visa или Mastercard для мгновенной покупки DAO Maker (DAO).Баланс: Используйте средства с баланса вашего аккаунта HTX для простой торговли.Третьи Лица: Мы добавили популярные способы оплаты, такие как Google Pay и Apple Pay, для повышения удобства.P2P: Торгуйте напрямую с другими пользователями на HTX.Внебиржевая Торговля (OTC): Мы предлагаем индивидуальные услуги и конкурентоспособные обменные курсы для трейдеров.Шаг 3: Хранение DAO Maker (DAO)После приобретения вами DAO Maker (DAO) храните их в своем аккаунте на HTX. В качестве альтернативы вы можете отправить их куда-либо с помощью перевода в блокчейне или использовать для торговли с другими криптовалютами.Шаг 4: Торговля DAO Maker (DAO)С легкостью торгуйте DAO Maker (DAO) на спотовом рынке HTX. Просто зайдите в свой аккаунт, выберите торговую пару, совершайте сделки и следите за ними в режиме реального времени. Мы предлагаем удобный интерфейс как для начинающих, так и для опытных трейдеров.

624 просмотров всегоОпубликовано 2024.04.12Обновлено 2026.06.02

Как купить DAO

Объяснение Залога Ликвидности HTX DAO

"Залог ликвидности" - это инновационная стратегия управления токенами, представленная HTX DAO.

1.7k просмотров всегоОпубликовано 2024.08.09Обновлено 2024.08.09

Объяснение Залога Ликвидности HTX DAO

Обсуждения

Добро пожаловать в Сообщество HTX. Здесь вы сможете быть в курсе последних новостей о развитии платформы и получить доступ к профессиональной аналитической информации о рынке. Мнения пользователей о цене на DAO (DAO) представлены ниже.

活动图片