O KelpDAO foi acionado para activar um programa de branqueamento de capitais com fundos roubados, enquanto a THORChain regista um aumento diário de 10 vezes

Analistas de blockchain Specter afirmam que, a partir de 22 de abril, a organização de hackers norte-coreana TraderTraitor começou a implementar operações de branqueamento de capitais sobre os fundos roubados de KelpDAO, apenas três horas depois de o Comité de Segurança da Arbitrum ter congelado cerca de 30,766 ETH. Os atacantes transferiram os fundos através da ponte THORChain para a rede Bitcoin, fazendo com que o volume de transações diárias exceda em mais de 10 vezes a média diária dos últimos 30 dias.

Pormenores da operação de branqueamento: três carteiras, técnicas de mistura e transferências entre cadeias

（Fonte：Arkham）

O atacante dividiu o capital remanescente em três carteiras: a primeira detém cerca de 25 mil ETH (aprox. 57,60 milhões de dólares), a segunda detém cerca de 25,7 mil ETH (aprox. 59,20 milhões de dólares) e a terceira, após receber os fundos, começou imediatamente a branqueá-los; neste momento, restam apenas cerca de 3,800 ETH (aprox. 8 milhões de dólares).

Os fundos roubados durante o processo de branqueamento foram misturados com os ganhos ilícitos dos incidentes envolvendo BTC Turk (2025) e Bybit (2025). Este é um padrão típico de operação da organização TraderTraitor—ao integrar fundos de múltiplos incidentes, aumenta-se a dificuldade de rastrear na blockchain. A Specter indica que, embora tenha conseguido identificar 356 endereços relacionados, ainda existem algumas carteiras intermédias que não foram incluídas na estatística; o número total de endereços utilizados no processo excede 400.

Efeitos em cadeia do ataque ao KelpDAO: de créditos incobráveis na Aave a uma queda acentuada do DeFi TVL

De acordo com a análise da Messari, a causa raiz deste ataque reside na configuração 1:1 DVN do LayerZero EndpointV2, que permite ao atacante falsificar mensagens entre cadeias. Depois de invadir dois nós LayerZero DVN, o atacante simulou a destruição (burn) de rsETH e desencadeou a libertação não autorizada de 116,500 rsETH.

Os efeitos a jusante espalharam-se rapidamente por todo o ecossistema DeFi: as perdas incobráveis na Aave foram estimadas entre 123,7 milhões e 230,1 milhões de dólares; o TVL desceu de cerca de 45,8 mil milhões de dólares para 35,7 mil milhões de dólares; o TVL total do DeFi caiu mais de 13 mil milhões de dólares em 48 horas; o token AAVE desvalorizou cerca de 25%; e o mercado WETH atingiu 100% de utilização, provocando uma saída de capitais de 6,2 mil milhões de dólares.

Medidas iniciais e plano de compensação para detentores de rsETH

As principais medidas de resposta incluem: o congelamento de cerca de 30,766 ETH pelo Comité de Segurança da Arbitrum; a Kelp suspendeu todos os contratos de rsETH na mainnet e na camada L2; e a LayerZero proibiu o uso futuro da configuração 1:1 DVN. A Kelp está a considerar adotar uma medida de compensação de perdas proporcionais de 16% para detentores de rsETH, mas a Messari aponta que esta iniciativa poderá afetar a confiança dos utilizadores das entidades afetadas e a dinâmica de recuperação.

Perguntas frequentes

Por que razão o TraderTraitor escolheu a THORChain como canal de branqueamento?

A THORChain é um protocolo de liquidez cross-chain sem necessidade de permissões, que permite trocar ativos entre diferentes blockchains e não exige verificação KYC. No incidente anterior envolvendo o hack da Bybit, o TraderTraitor também utilizou o mesmo canal THORChain, indicando que isto se tornou um padrão de operação fixo para a organização de hackers norte-coreana após grandes roubos.

Por que motivo o branqueamento envolveu a mistura de fundos com os incidentes da Bybit e do BTC Turk?

A mistura de fundos é um procedimento padrão de branqueamento, que junta fundos roubados de múltiplos incidentes, tornando mais difícil para quem faz o rastreio identificar a origem e a atribuição específicas de determinados fundos. Durante o processo de circulação via THORChain, os fundos roubados do KelpDAO já foram misturados com os fundos ilícitos dos incidentes de hacking da Bybit e do BTC Turk de 2025, formando uma cadeia de fundos ainda mais difícil de desmontar.

Como é que o plano de compensação de perdas de 16% da Kelp afeta os detentores de rsETH?

Se o plano de compensação for confirmado, os detentores de rsETH suportarão cerca de 16% das perdas na proporção das suas participações; isto significa que, para quem detém 100 rsETH, o valor nominal dos ativos será ajustado com um desconto de aproximadamente 16%. O mecanismo de compensação ajuda a mitigar parcialmente as perdas dos utilizadores afetados, mas também poderá afetar a velocidade de recuperação da confiança do mercado em rsETH e no ecossistema do protocolo Kelp.