从被盗到再入市，2.92 亿美元如何被「洗白」？

编者按:4 月 18 日,Kelp DAO 遭遇攻击,约 2.92 亿美元资产被盗。那么,在一个完全公开的链上系统中,这笔钱究竟是如何一步步被「洗干净」,变成可流通资产的?

本文以该事件为切口,拆解一条高度工业化的加密洗钱路径:从攻击前的匿名基础设施准备,到利用 Tornado Cash 切断链上关联;从借助 Aave、Compound 将「有毒资产」抵押换出干净流动性,再到通过 THORChain、跨链桥与 UTXO 结构实现追踪难度的指数级放大,最终汇入 Tron 上的 USDT 体系,并经由场外网络兑换为现实世界中的现金。

在这一过程中,没有复杂的黑箱操作,几乎每一步都在「按规则行事」。也正因如此,这条路径所揭示的,并非单点漏洞,而是 DeFi 体系在开放性、可组合性与不可审查性之下的结构性张力——当协议设计本身即允许这些操作存在,所谓「追回资金」便不再是技术问题,而是系统边界问题。

Kelp DAO 事件因此不只是一次安全事故,更像是一场关于加密世界运行逻辑的压力测试:它展示了黑客如何把你的钱变成他的钱,也展示了这个体系为何在原则上,很难阻止这一过程发生。

如你所知,4 月 18 日,一名朝鲜黑客从 Kelp DAO 盗走了 2.92 亿美元。5 天后,其中超过一半已经消失,碎片化散落在数千个钱包里,经由无法暂停的协议完成兑换,最终汇向一个非常具体的目的地。

有趣的地方在于:如何把 2.92 亿美元有据可查的被盗加密资产,在没有任何人能够阻止的情况下,变成平壤口袋里的现金。

本文的目的,是揭示现代加密洗钱全流程为何运转,为何在结构上无法被阻止,以及每一美元被洗白后究竟买到了什么。

第一阶段:布局(攻击发生前数小时)

攻击者并非以直接盗取开始。Lazarus 组织的打法,始终从基础设施准备起步。

攻击发生约 10 小时前,8 个全新钱包通过 Tornado Cash 预先注资——Tornado Cash 是一个混币器,能切断资金来源与去向之间的关联。

每个钱包各收到 0.1 ETH,用于支付后续所有操作的 Gas 费。由于这些钱包的资金来自混币器,没有交易所 KYC 记录,没有历史交易痕迹,无法与任何已知主体关联。干净的白板。

攻击前夕,攻击者从以太坊主网向 Avalanche 和 Arbitrum 发起了 3 笔跨链转账——目的显然是在这两条 L2 上预存 Gas,并测试跨桥操作,确保大额转账时一切顺畅。

第二阶段:盗取

一个独立的攻击发起钱包(0x4966...575e)调用了 LayerZero EndpointV2 合约上名为 lzReceive 的函数。由于验证器已被成功欺骗,这次调用被视为合法的跨链消息。Kelp 的跨桥合约 Kelp DAO: RSETH_OFTAdapter(Etherscan 地址:0x85d...)随即向 0x8B1 释放了 116,500 枚 rsETH。

全部流通 rsETH 的 18%。一次函数调用,消失殆尽。

46 分钟后,UTC 时间 18:21,Kelp 的紧急多签暂停了协议。UTC 时间 18:26 和 18:28,攻击者又尝试以完全相同的方式再操作两次,每次试图再盗取约 40,000 枚 rsETH(每笔约 1 亿美元)。两次均因 Kelp 及时断电而回滚。若非如此,本次盗取总额可能接近 5 亿美元。

第三阶段:Aave + Compound 操作

rsETH 是一种凭证代币,一旦 Kelp 暂停跨桥或将被盗代币列入黑名单,其价值随即归零。攻击者只有几分钟时间,将其转换为无法被冻结的资产。Kelp 在盗取发生 46 分钟后才暂停——已经太晚了。

将 2.92 亿美元的非流动性 restaking 代币直接在公开市场抛售,会在数分钟内压崩价格逾 30%。所以他没有选择抛售,而是把 DeFi 借贷协议当作洗钱工具,快速出手。

接收钱包 0x8B1 将 116,500 枚被盗 rsETH 分散转入其他 7 个分支钱包。每个分支随即进入 Aave 和 Compound V3,将一部分 rsETH 作为抵押品存入,并借出 ETH。

7 个分支的累计仓位如下:

·存入抵押品:89,567 枚 rsETH

·借出:约 82,650 枚 WETH + 821 枚 wstETH,合计约 1.9 亿美元的干净、流动的以太坊资产

·每个分支的健康系数设置为 1.01 至 1.03——协议在清算前所允许的绝对上限

攻击者用这批总值 2.92 亿美元、已遭标记且几乎无法变现的 rsETH,换来了 1.9 亿美元的 ETH。当这批 rsETH 最终被标记为近乎归零(因为 Kelp 的跨桥资不抵债、无法赎回),借贷协议的存款人承担了损失。

随着市场意识到 Aave 持有逾 2 亿美元的坏账,用户恐慌性撤资。Aave 在 48 小时内流失了 80 亿美元的 TVL(总锁仓量)。这个最大的 DeFi 借贷协议,遭遇了它的第一次真正意义上的银行挤兑——而导火索,是一个攻击者完全按照协议设计来使用它。

第四阶段:资金整合与拆分

完成 Aave/Compound 借款后,7 个分支将借到的 ETH 推送至第三层整合钱包(0x5d3)。

整个操作集群此时呈现清晰的三层结构:

1、接收:0x8B1(同样经由 Tornado Cash 注资),接收原始盗取的 116,500 枚 rsETH

2、操作:7 个经由 Tornado Cash 注资的分支钱包,执行 Aave/Compound 操作

3、整合:0x5d3 重新汇聚约 71,000 枚 ETH 的借款资金,统一进入洗钱流程

资金随后分布于两条链:

·75,700 枚 ETH 留在以太坊主网

·30,766 枚 ETH 在 Arbitrum(约 7100 万美元)

Arbitrum 安全委员会投票冻结了 Arbitrum 上的这部分资产,将 7100 万美元转移至一个仅能通过后续治理解锁的治理控制钱包。

冻结发生后不久,黑客随即转移了主网上剩余的 ETH,并加速了洗钱进程。从这些动作来看,他显然没有预料到 Arbitrum 会采取这样的行动。

第五阶段:第一波洗钱

攻击发生四天后,0x5d3 开始清空。Arkham 在数小时内追踪到 3 笔独立转账。

时机经过刻意选择:周二的欧洲交易时段。美国调查人员尚在休息,欧洲合规部门正在处理周一积压的事务,亚洲交易所已接近收盘。

随后,转账模式开始爆炸式扩散。每一个第一波目的地立即再度扩散:0x62c7 推送至约 60 个新生成的钱包,0xD4B8 推送至另外约 60 个。数小时内,原本整洁的 10 钱包集群扩展为 100 多个一次性地址,全部并行注资,每个地址持有的金额都小到足以规避检测。

Lazarus 运行 HD 钱包脚本——单个助记词在数秒内可以在数学上推导出数千个全新地址,配合一个 worker 池(Python + web3、ethers.js 或他们自己的内部工具)并行签名和广播整棵地址树。这套代码,他们从 2018 年起就一直在迭代。

这一阶段结束时,线性可追溯的链条已经消失。10 个钱包的操作集群爆炸为 100 多个碎片化钱包,资金同时从数十个独立入口进入隐私轨道。

第六阶段:THORChain——出逃机器

真正的断点发生在 THORChain。

THORChain 是一个去中心化协议,支持跨链原生资产兑换。你在以太坊发送 ETH,它在比特币网络还给你 BTC。

仅 4 月 22 日当天,THORChain 24 小时兑换量达到 4.6 亿美元。该协议正常日均交易量约为 1500 万美元。这一次黑客攻击,单日占据了该协议正常使用量的 30 倍。

同一 24 小时窗口内,协议共产生 49.4 万美元收益,由 bonder(节点运营商)、流动性提供者、开发基金、联盟整合商和营销基金分成。

与此同时,资金还通过一组更小但互为补充的隐私轨道并行流动:

·Umbra:以太坊上的隐身地址协议。允许向一次性地址发送资金,仅收款方能通过共享密钥计算出该地址。链上监控者无从得知真实目的地。约 7.8 万美元的初始活动在此被追踪到,随后工具失去了线索。

·Chainflip:另一个跨链 DEX,模式与 THORChain 类似。

·BitTorrent Chain:一条与 Tron 相连的低成本、低监管侧链。

·Tornado Cash:与最初 Gas 预注资时相同的混币器。美国财政部已于 2022 年将其列入制裁名单。

每经过一层协议,追踪成本约增加 10 倍。经过 5 层之后,取证公司在理论上仍然可以追踪每一个碎片,但经济成本已超过可追回的价值。

第七阶段:比特币 UTXO 碎片化

通过 THORChain 完成 ETH 转 BTC,本质上是把钱变成碎纸屑。

以太坊采用账户模型,你的余额是附在地址上的一个数字,简单直接。比特币不同,它采用 UTXO(未花费交易输出)模型——每一笔 UTXO 都是一个具体的币的块,带有完整的交易历史。每次花费比特币,这些块会被拆分和重新组合,形成新的块。

想象把一张 100 美元钞票撕成 87 片,然后把每一片再撕成 87 片,如此循环 7 次。从技术上说,每一个碎片都可以追溯到那张原始钞票。实际上,没有任何人工取证团队能够实时追踪数千条并行链,并在足够快的时间内拼出全貌、采取行动。

因此,THORChain 同时完成了两件事:将资金跨越任何制裁都无法跨越的边界,并将资金碎片化为无从追踪的尘埃。

第八阶段:Tron USDT 轨道

经过比特币和隐私层之后,资金重新汇聚于同一个终点:Tron 上的 USDT。

大多数人以为洗钱的主战场是 BTC,这是错误的。真正的主战场是 Tron 上的 USDT。数据显示,USDT-Tron 每年承载的非法加密资产交易量均居首位,超过所有其他链的总和。

在 Kelp 这笔资金流中,具体路径是:从 BTC 跨桥转入 Tron,兑换为 USDT,再在 Tron 地址间多次转移。Tron 上的每一跳成本极低,只需花几分钱,就能再叠加 10 层碎片化。

第九阶段:出金——加密变现金

每一次黑客攻击的终点,资金都通过一套特定的、有据可查的人类中间人网络,变成法币现金。

一批活跃于中国大陆和东南亚的场外交易(OTC)经纪商接收 USDT-Tron 存款,以本地货币现金结算。这些经纪商实质上是无牌照的地下钱庄。他们汇聚来自多个客户(合规与非合规)的资金流,在内部轧差,并通过中国国内支付网络(银联)以法币结算——银联完全在 SWIFT 体系和西方制裁执法范围之外运行。

从这些经纪商控制的账户出发,资金流入朝鲜控制的银行账户,通常以注册于香港、澳门或第三方司法管辖区的壳公司名义持有。再从这些账户,通过哈瓦拉式非正式清算、实物现金转运以及采购前台公司等方式,将资金汇回平壤。

联合国安理会、FBI 和美国财政部均已独立记录了这批资金的最终去向。朝鲜的弹道导弹计划、核武器研发,以及对国际制裁的规避,都有赖于这类资金流的持续支撑。

2024 年联合国报告估计,加密黑客攻击约占朝鲜全部外汇收入的 50%,使其成为朝鲜武器计划的首要资金来源——超过煤炭出口、军火销售和劳务输出的总和。

[原文标题]