链上追踪:KelpDAO被盗资金疑遭朝鲜黑客组织分批洗钱,THORChain单日交易量超30日均值10倍
链上分析师监测显示,KelpDAO被盗资金在Arbitrum Council冻结操作约三小时后启动洗钱流程,攻击者将剩余资金拆分至三个钱包,并主要借助THORChain将ETH桥接至比特币网络,整个过程已动用逾400个地址。
据链上分析师Specter(@SpecterAnalyst)监测,KelpDAO被盗资金的洗钱操作于北京时间4月22日凌晨启动,时间节点距Arbitrum Council冻结3.7万枚ETH(约7100万美元)约三小时之后。
攻击者将剩余资金拆分至三个独立钱包:第一个持有约2.5万枚ETH(约5760万美元),第二个持有约2.57万枚ETH(约5920万美元),第三个持有约2.5万枚ETH(约5790万美元)。其中第三个钱包在拆分后即刻启动转移,截至监测时点仅剩约3800枚ETH(约800万美元)。
资金流向方面,约99%的资金经由THORChain桥接至比特币网络。受此影响,THORChain当日交易量升至2.11亿美元,超过其30日日均值的10倍,并产生约18.9万美元手续费。
链上追踪还显示,上述洗钱资金与BTC Turk(2025)及Bybit(2025)黑客事件的非法所得发生混合,比特币网络上可追踪的相关资金合计约442枚BTC(约3300万美元),整个洗钱过程已动用逾400个地址。
该活动被链上分析师归因于朝鲜黑客组织TraderTraitor,但此归因来源为个人监测结论,并非执法机构官方认定。
解读
此次洗钱操作的时间选择值得关注——在Arbitrum Council完成冻结操作后约三小时内即启动,表明攻击者对链上冻结动态保持实时响应,并预先准备了分散转移方案。资金被拆分为三个规模相近的钱包,是常见的反追踪分散策略,而第三个钱包的快速清空说明部分资金已完成初步转移。THORChain作为主要桥接通道承接了约99%的资金流量,其无需许可的跨链特性使其持续成为大规模非法资金转移的工具选项,单日交易量的异常放大也为链上监控提供了可观测信号。混合多起黑客事件资金的操作增加了后续溯源与资产追回的难度。