Kuzey Kore bağlantılı olduğu düşünülen Lazarus Group tarafından gerçekleştirilen saldırıda, Kelp DAO’dan tek bir açık ile 292 milyon dolarlık rsETH çalındı. Saldırganlar, saatler içinde 76.000 ETH’yi (yaklaşık 175 milyon dolar) yeni cüzdan adreslerine taşıyarak kapsamlı bir aklama sürecinin başladığını gösterdi.
Olayın hemen ardından, Arbitrum Güvenlik Konseyi saldırıyla bağlantılı 30.766 ETH’yi (yaklaşık 71 milyon dolar) dondurdu. Böylece çalınan varlıkların yaklaşık dörtte biri kurtarıldı. Kolluk kuvvetlerinin de dahil olduğu bu acil müdahalede, fonlar yönetişim erişimine açık bir cüzdana aktarıldı ve saldırganların bu varlıklara ulaşması engellendi.
Dondurma işleminin hemen ardından, saldırganlar kalan fonları gizlilik protokolleri üzerinden yönlendirmeye başladı. Zincir üstü veriler, çalınan kripto varlıkların Umbra adlı gizlilik protokolü üzerinden ve THORChain aracılığıyla Bitcoin ağına çapraz zincir transferlerle taşındığını gösteriyor. Saldırganlar, kalan fonları daha izlenemez alanlara aktarmak için aktif olarak köprüleme işlemleri gerçekleştiriyor.
Umbra’nın Rolü
Saldırganlar, Umbra üzerinden belirli bir miktarı hedefli şekilde taşıdı. Zincir üstü araştırmacı ZachXBT, Arbitrum’daki dondurma işleminin hemen ardından yaklaşık 78.000 dolarlık ayrı bir transferin Umbra üzerinden yönlendirildiğini bildirdi. Bu adım, fonların kaynağını gizlemek amacıyla bilinçli olarak atıldı.
Umbra’nın kullanılması, blok zincirinin şeffaf işlem grafiğini kırma niyetinin açık bir göstergesi olarak öne çıkıyor. Bir gizlilik protokolü olan Umbra, işlem verilerini şifreleyerek araştırmacıların çalınan varlıkların izini sürmesini zorlaştırıyor. Bu yöntem, 1,4 milyar dolarlık Bybit saldırısında da kullanılmış ve fonların %72’si gizlilik protokolü üzerinden aktarılmıştı. Benzerlik, tespitten kaçınmak için izlenen bir yönteme işaret ediyor.
Bu gelişme, mevcut zincir üstü soruşturma süreçlerindeki önemli bir zafiyeti ortaya koyuyor. Arbitrum’un dondurma hamlesi çalınan ETH’nin büyük kısmını kontrol altına alırken, Umbra gibi gizlilik araçlarının kullanılması kurtarma çabalarını sürekli olarak zorlaştırıyor. Saldırganlar, kalan 175 milyon dolarlık fonu parçalara ayırıp gizleyerek takibi ve geri kazanımı daha da güçleştiriyor.
Kritik Göstergeler ve İzlenmesi Gereken Noktalar
Aklama operasyonu şu anda aktif şekilde devam ediyor ve üç temel gösterge sürecin başarısını belirleyecek. İlk olarak, Umbra ve benzeri gizlilik protokolleri üzerinden taşınan toplam değerin izlenmesi gerekiyor. Başlangıçta üç THORChain işlemiyle toplamda yaklaşık 1,5 milyon dolar ve Umbra üzerinden yaklaşık 78.000 dolarlık transfer gerçekleşti. Ancak bu kanallar üzerinden hacmin artması, kalan 175 milyon doların kamuya açık blok zincirinden tamamen çıkarıldığını gösterecek. Saldırganların ana hedefi, fonları parçalayıp izlerini kaybettirmek.
İkinci olarak, yeni cüzdan adreslerinden merkezi borsalara yapılacak büyük ölçekli transferler yakından takip edilmeli. Bu tür hareketler, fonların nakde çevrilmesi için son aşamaya gelindiğinin en net göstergesi olacak. Saldırganlar, halihazırda 175 milyon dolardan fazla varlığı yeni adreslere taşıdı. Bundan sonraki adımda, fonların merkezi borsalara aktarılması halinde borsalar tarafından hızlıca dondurma işlemleri başlatılabilir.
Son olarak, Kelp DAO ile LayerZero arasında süregelen anlaşmazlık, kurtarma sürecini etkileyebilecek bir düzenleyici belirsizlik yaratıyor. İki taraf, saldırının sorumluluğu konusunda karşı karşıya. LayerZero, ön değerlendirmede Lazarus Group’u suçlarken, Kelp DAO bu nitelendirmeye itiraz ediyor. Bu kamuoyu önündeki suçlama ve savunma süreci, koordineli hukuki adımların atılmasını zorlaştırıyor ve çalınan varlıkların geri kazanılmasını geciktirebilir.
Bu içerik hazırlanırken faydalanılan kaynaklar: ainvest.com
