与Kelp DAO漏洞绑定的钱包周二开始在多个区块链网络间转移被盗资金。链上调查人员发现了总计约75,700笔转账,价值约1.75亿美元。此举发生在Arbitrum冻结部分被盗资产数小时后。
区块链调查员ZachXBT报告称,资金在冻结后不久便开始通过THORChain和隐私协议Umbra流动。他识别出三笔THORChain交易,总额约150万美元,以及通过Umbra转账约78,000美元的单独转账。区块链安全公司PeckShield估计总成交金额约为1.76亿美元,新增了通过Chainflip和BitTorrent的路径。Kelp DAO 和 LayerZero 尚未独立确认这些数据。
Arbitrum由12个成员组成的安理会在转移开始前采取了紧急行动。它冻结了与攻击有关的30,766笔资金,并将这些资金转移到一个只能通过Arbitrum治理访问的中介钱包。这一举措是自该漏洞在周末披露以来为数不多的成功遏制措施之一。
最初的袭击发生在周六。一名攻击者从Kelp DAO的LayerZero驱动rsETH桥中抽取了约116,500个重新封存ETH,约占流通中rsETH总量的18%。TRM Labs全球政策负责人Ari Redbord表示,攻击者使用了疑似伪造的消息触发了LayerZero的lzReceive功能。
LayerZero表示,Kelp DAO的桥依赖单一去中心化验证者网络路径来确认跨链消息。该机构表示,单点设置造成了该漏洞,并且此前曾建议不要使用该配置。Kelp DAO 对此描述提出异议,并将责任归咎于 LayerZero 的消息架构。LayerZero随后确认朝鲜的拉撒路集团是可能的袭击者。
该漏洞将财务压力分散到多个DeFi协议。攻击者利用被盗资金作为Aave的抵押品,借款以协议为抵押。Aave周一的事件报告估计潜在坏账金额为1.237亿美元或2.301亿美元,具体取决于情况的解决方式。Aave、SparkLend、Fluid和Upshift都暂停或重新评估了他们的rsETH暴露。据DefiLlama报道,自袭击以来,Aave锁定的总市值截至周二下降了约100亿美元,达到164亿美元。
Aave 于周二解冻了以太坊核心 V3 市场的 Wrapped 储备,允许用户再次向该池提供 WETH。以太坊Prime、Arbitrum、Base、Mantle和Linea的储备仍被冻结。据CryptoQuant研究主管Julio Moreno介绍,Aave在该期间的USDT借款利率从3%上升至14%,为自2024年12月以来的最高水平。
THORChain不要求“了解你的客户”验证,因此在重大漏洞利用后成为常见的退出途径。在2025年14亿美元的Bybit黑客事件中,攻击者将72%的被盗资金通过该协议转移,随后将大部分持仓转换为。Kelp DAO案件中的新转账显示,攻击者已经在测试退出路径,而部分资金仍留在链上。
