Редакционное примечание: 18 апреля Kelp DAO подвергся атаке, в результате которой было похищено активов на сумму около 292 миллионов долларов. Как же в полностью публичной системе блокчейна эти деньги шаг за шагом были «отмыты» и превращены в ликвидные активы?
На примере этого инцидента в статье разбирается высокоиндустриализированный путь отмывания криптовалют: от подготовки анонимной инфраструктуры до атаки, использования Tornado Cash для разрыва связей в блокчейне; от залога «токсичных активов» в Aave и Compound для получения чистой ликвидности до увеличения сложности отслеживания в геометрической прогрессии с помощью THORChain, мостов и структуры UTXO, и, наконец, до попадания в систему USDT на Tron и обмена на наличные деньги в реальном мире через внебиржевую сеть.
В этом процессе нет сложных операций в черном ящике, почти каждый шаг осуществляется «по правилам». Именно поэтому этот путь раскрывает не единичные уязвимости, а структурное напряжение в системе DeFi под влиянием открытости, комбинируемости и неизменяемости — когда сам дизайн протокола допускает существование таких операций, так называемое «возвращение средств» перестает быть технической проблемой, а становится проблемой границ системы.
Таким образом, инцидент с Kelp DAO — это не просто инцидент безопасности, а скорее стресс-тест логики функционирования криптомира: он показывает, как хакер превращает ваши деньги в свои, и демонстрирует, почему эта система в принципе не может阻止 этот процесс.
Как вам известно, 18 апреля северокорейский хакер похитил из Kelp DAO 292 миллиона долларов. Спустя 5 дней более половины из них исчезли, фрагментировано рассыпавшись по тысячам кошельков, были обменены через неостанавливаемые протоколы и в конечном итоге направились в очень конкретный пункт назначения.

Интересно вот что: как превратить 292 миллиона долларов украденных криптоактивов, имеющих документальное подтверждение, в наличные деньги в карманах Пхеньяна, при этом никто не может этому помешать.
Цель этой статьи — показать, почему работает полный цикл современного отмывания криптовалют, почему его структурно невозможно остановить и что в конечном итоге покупается на каждый отмытый доллар.
Первый этап: Подготовка (За несколько часов до атаки)
Атакующий начал не с непосредственной кражи. Тактика группы Lazarus всегда начинается с подготовки инфраструктуры.
Примерно за 10 часов до атаки 8 новых кошельков были предварительно пополнены через Tornado Cash — микшер, который разрывает связь между источником и получателем средств.
Каждый кошелек получил по 0.1 ETH для оплаты комиссии Gas за все последующие операции. Поскольку средства этих кошельков поступили из микшера, у них нет записей KYC с бирж, нет истории транзакций, их нельзя связать ни с одним известным субъектом. Чистый лист.

Накануне атаки злоумышленник инициировал 3 межсетевые транзакции с Ethereum mainnet на Avalanche и Arbitrum — очевидно, с целью предварительного хранения Gas на этих двух L2 и тестирования операций через мост, чтобы обеспечить бесперебойность крупных переводов.

Второй этап: Кража
Отдельный кошелек инициатора атаки (0x4966...575e) вызвал функцию lzReceive в контракте LayerZero EndpointV2. Поскольку валидатор был успешно обманут, этот вызов был воспринят как законное межсетевое сообщение. Мостовой контракт Kelp, Kelp DAO: RSETH_OFTAdapter (адрес Etherscan: 0x85d...), затем выпустил 116 500 rsETH на адрес 0x8B1.

18% от общего объема rsETH в обращении. Один вызов функции — и все исчезло.
Спустя 46 минут, в 18:21 по UTC, аварийная мультиподпись Kelp приостановила протокол. В 18:26 и 18:28 по UTC злоумышленник попытался точно таким же образом провести еще две операции, каждый раз пытаясь похитить около 40 000 rsETH (каждая на сумму около 100 миллионов долларов). Обе попытки были откатаны из-за своевременного отключения Kelp. Если бы не это, общая сумма кражи могла бы приблизиться к 500 миллионам долларов.

Третий этап: Операции в Aave + Compound
rsETH — это токен-представитель, стоимость которого мгновенно обнуляется, как только Kelp приостанавливает мост или вносит украденные токены в черный список. У атакующего было всего несколько минут, чтобы конвертировать их в активы, которые нельзя заморозить. Kelp приостановил работу спустя 46 минут после кражи — это уже было слишком поздно.
Продажа 292 миллионов долларов неликвидных restaking-токенов на открытом рынке обрушила бы цену более чем на 30% за считанные минуты. Поэтому он не стал продавать, а использовал протоколы DeFi-кредитования как инструмент для быстрого отмывания.
Кошелек-получатель 0x8B1 перевел 116 500 украденных rsETH на другие 7 ответвленных кошельков. Каждое ответвление затем вошло в Aave и Compound V3, внесло часть rsETH в качестве залога и взяло в долг ETH.

Совокупная позиция 7 ответвлений выглядела следующим образом:
· Внесено залога: 89 567 rsETH
· Заимствовано: около 82 650 WETH + 821 wstETH, в сумме около 190 миллионов долларов чистых, ликвидных активов в Ethereum
· Коэффициент здоровья для каждого ответвления установлен на уровне от 1.01 до 1.03 — абсолютный предел, допустимый протоколом до ликвидации

Атакующий обменял эту партию rsETH общей стоимостью 292 миллиона долларов, уже помеченную и практически неликвидную, на 190 миллионов долларов в ETH. Когда эти rsETH в конечном итоге были помечены как почти бесполезные (поскольку мост Kelp стал неплатежеспособным и не мог выкупить их), убытки понесли вкладчики кредитных протоколов.
Когда рынок осознал, что у Aave находится более 2 миллиардов долларов плохих долгов, пользователи начали панически выводить средства. Aave потеряла 80 миллиардов долларов TVL (общей заблокированной стоимости) за 48 часов. Крупнейший протокол DeFi-кредитования пережил свою первую по-настоящему банковскую панику — а спусковым крючком послужил атакующий, который использовал его полностью в соответствии с дизайном протокола.

Четвертый этап: Консолидация и разделение средств
После завершения займов в Aave/Compound 7 ответвлений перевели занятые ETH на кошелек консолидации третьего уровня (0x5d3).

Вся операционная группа на этом этапе приобрела четкую трехуровневую структуру:
1. Получение: 0x8B1 (также пополнен через Tornado Cash), получил первоначально украденные 116 500 rsETH.
2. Операции: 7 ответвленных кошельков, пополненных через Tornado Cash, выполнили операции в Aave/Compound.
3. Консолидация: 0x5d3 заново собрал заемные средства объемом около 71 000 ETH, объединив их для процесса отмывания.
Затем средства были распределены по двум сетям:
· 75 700 ETH осталось в Ethereum mainnet
· 30 766 ETH в Arbitrum (около 71 миллиона долларов)
Комитет безопасности Arbitrum проголосовал за заморозку этой части активов в Arbitrum, переведя 71 миллион долларов на кошелек, контролируемый governance, который можно разблокировать только последующим голосованием управления.

Вскоре после заморозки хакер немедленно перевел оставшиеся ETH в mainnet и ускорил процесс отмывания. Судя по этим действиям, он явно не ожидал таких действий со стороны Arbitrum.

Пятый этап: Первая волна отмывания
Спустя четыре дня после атаки кошелек 0x5d3 начал опустошаться. Arkham отследил 3 независимые транзакции в течение нескольких часов.
Время было выбрано намеренно: европейская торговая сессия во вторник. Американские следователи еще отдыхали, европейские compliance-отделы разбирались с накопившимися с понедельника делами, азиатские биржи уже接近 к закрытию.
Затем модель переводов начала взрывообразно расширяться. Каждый пункт назначения первой волны немедленно снова делился: 0x62c7 отправил на около 60 новых сгенерированных кошельков, 0xD4B8 — еще на около 60. В течение нескольких часов первоначальный кластер из 10 кошельков расширился до 100+ одноразовых адресов, все пополнялись параллельно, каждый с суммой, достаточно малой, чтобы избежать обнаружения.

Lazarus запустил скрипт HD-кошельков — одна seed-фраза может математически вывести тысячи новых адресов за секунды, в сочетании с пулом воркеров (Python + web3, ethers.js или их собственные внутренние инструменты) для параллельной подписи и broadcast целого дерева адресов. Этот код они итеративно улучшают с 2018 года.
К концу этого этапа линейно прослеживаемая цепочка исчезла. Операционный кластер из 10 кошельков взорвался на 100+ фрагментированных кошельков, средства одновременно вошли в каналы конфиденциальности через десятки независимых входов.
Шестой этап: THORChain — машина для вывода
Настоящий разрыв связи произошел в THORChain.
THORChain — это децентрализованный протокол, поддерживающий обмен нативными активами между сетями. Вы отправляете ETH в Ethereum, а он возвращает вам BTC в сети Bitcoin.
Только за 22 апреля суточный объем обмена на THORChain достиг 460 миллионов долларов. Нормальный ежедневный объем этого протокола составляет около 15 миллионов долларов. Эта одна хакерская атака в одни сутки заняла в 30 раз больше, чем нормальное использование протокола.

В те же 24-часовые окно протокол принес 494 000 долларов дохода, распределенного между бондерами (операторами узлов), поставщиками ликвидности, фондом развития, интеграторами альянса и маркетинговым фондом.
В то же время средства текли также через набор меньших, но взаимодополняющих каналов конфиденциальности:
· Umbra: протокол стелс-адресов на Ethereum. Позволяет отправлять средства на одноразовые адреса, только получатель может вычислить этот адрес с помощью общего ключа. Мониторинги в блокчейне не могут узнать истинное назначение. Здесь было отслежено первоначальная активность на сумму около 78 000 долларов, затем инструменты потеряли след.
· Chainflip: еще один межсетевой DEX, похожий на THORChain.
· BitTorrent Chain: сайдчейн с низкой стоимостью и низким регулированием, подключенный к Tron.
· Tornado Cash: тот же микшер, что использовался для первоначального пополнения Gas. Министерство финансов США внесло его в санкционный список в 2022 году.
С каждым уровнем протокола стоимость отслеживания увеличивается примерно в 10 раз. После 5 уровней forensic-компании теоретически все еще могут отследить каждый фрагмент, но экономическая стоимость уже превышает ценность возможного возврата.
Седьмой этап: Фрагментация Bitcoin UTXO
Конвертация ETH в BTC через THORChain по сути превращает деньги в клочья бумаги.
Ethereum использует модель аккаунтов, ваш баланс — это число, прикрепленное к адресу, просто и прямо. Bitcoin другой, он использует модель UTXO (невоспользованный выход транзакции) — каждый UTXO представляет собой конкретный кусок монеты с полной историей транзакций. Каждая трата биткоинов разбивает и重新组合ляет эти куски, образуя новые.

Представьте, что вы рвете купюру в 100 долларов на 87 частей, затем каждую часть снова на 87 частей, и так 7 раз. Технически каждый фрагмент можно проследить до исходной купюры. Практически, ни одна ручная forensic-команда не может отслеживать тысячи параллельных цепочек в реальном времени и достаточно быстро собрать полную картину, чтобы предпринять действия.
Таким образом, THORChain одновременно выполнил две вещи: перевел средства через границу, которую не может пересечь никакая санкция, и раздробил средства в неотслеживаемую пыль.
Восьмой этап: Трек USDT на Tron
После прохождения через Bitcoin и слои конфиденциальности средства вновь собрались в одной конечной точке: USDT на Tron.
Большинство думает, что главное поле битвы за отмывание — это BTC, это ошибка. Настоящее главное поле битвы — это USDT на Tron. Данные показывают, что USDT-Tron ежегодно обрабатывает наибольший объем незаконных криптоактивов, превышая сумму всех остальных сетей.
В этом потоке средств Kelp конкретный путь был следующим: с BTC через мост на Tron, обмен на USDT, затем多次 переводов между адресами Tron. Каждый прыжок на Tron стоит极低,只需几分钱,就能再叠加 10层 фрагментации.
Девятый этап: Обналичивание — Крипто в кэш
Конечная точка каждой хакерской атаки — это когда деньги через определенную, хорошо задокументированную сеть человеческих посредников превращаются в фиатные наличные.
Группа внебиржевых (OTC) брокеров,活跃于中国大陆和东南亚, принимает депозиты в USDT-Tron и рассчитывается наличными в местной валюте. Эти брокеры по сути являются нелицензированными подпольными обменными пунктами. Они агрегируют потоки средств от множества клиентов (соответствующих и несоответствующих требованиям), проводят внутренний неттинг и рассчитываются фиатом через внутренние платежные сети Китая (UnionPay) — которые полностью работают вне системы SWIFT и beyond западных санкций.

С учетных записей, контролируемых этими брокерами, средства поступают на банковские счета, контролируемые КНДР, обычно зарегистрированные на shell-компании в Гонконге, Макао или юрисдикциях третьих стран. Затем с этих счетов, через хавала-подобные неформальные расчеты, физическую转运овку наличных и закупки компаний-прикрытий, средства переводятся обратно в Пхеньян.
Совет Безопасности ООН, ФБР и Министерство финансов США независимо задокументировали конечное назначение этих средств. Программа баллистических ракет КНДР, разработка ядерного оружия и обход международных санкций зависят от постоянной поддержки подобных потоков средств.
Согласно отчету ООН за 2024 год, хакерские атаки на криптовалюты составляют около 50% всех валютных поступлений КНДР, что делает их основным источником финансирования weapons программы — опережая экспорт угля, продажу оружия и экспорт рабочей силы вместе взятые.
[Оригинальное название]








