Congelamento de Fundos pela Arbitrum
- A Arbitrum congelou 30.766 ETH antes que pudesse ser transferido.
- O atacante movimentou 75.701 ETH e começou a redirecionar os fundos para o Bitcoin.
- Mais de 176 milhões de dólares estão sendo lavados através de múltiplos fluxos paralelos.
A Arbitrum congelou uma parte significativa dos fundos vinculados ao exploit do KelpDAO, mesmo enquanto o atacante tentava movimentar os ativos restantes para fora do seu alcance.
O Conselho de Segurança da Arbitrum confirmou o congelamento de 30.766 ETH, avaliados em mais de 70 milhões de dólares no momento da ação.
Os fundos estavam associados a um endereço vinculado ao atacante do KelpDAO e foram assegurados antes que pudessem ser transferidos da rede.
A intervenção ocorreu após coordenação com as autoridades, sugerindo que as forças de segurança já podem ter pistas sobre a identidade do explorador.
O Conselho de Segurança da Arbitrum tomou uma ação de emergência para congelar os 30.766 ETH mantidos em um endereço na Arbitrum One, que está conectado ao exploit do KelpDAO. O Conselho de Segurança atuou com a contribuição das autoridades sobre a identidade do explorador e, em todos os momentos,…
— Arbitrum (@arbitrum) 21 de abril de 2026
Uma corrida contra o tempo
Investigadores de blockchain, incluindo a PeckShield, haviam sinalizado que o atacante já estava tentando mover os fundos para fora da Arbitrum usando uma ponte nativa.
Se essa transferência tivesse sido concluída, o ETH provavelmente teria se juntado a um pool muito maior de ativos roubados que já estão em circulação em outras redes.
Com a intervenção no momento adequado, a Arbitrum impediu que aproximadamente 29% dos fundos roubados entrassem no processo de lavagem. No entanto, os ativos restantes não tiveram a mesma sorte.
Estima-se que o exploit do KelpDAO tenha um valor em torno de 290 milhões de dólares, tornando-se uma das maiores violações de finanças descentralizadas de 2026.
O atacante moveu-se rapidamente após o exploit inicial, dividindo os fundos entre várias carteiras e redes na tentativa de reduzir a rastreabilidade.
A lavagem se desloca para o Bitcoin
Após o congelamento, o atacante acelerou os esforços para mover os fundos restantes.
Dados mostram que aproximadamente 75.701 ETH, no valor de cerca de 175 milhões de dólares, foram transferidos para a rede principal do Ethereum.
A partir daí, os fundos começaram a ser movimentados para o Bitcoin por meio de protocolos descentralizados, como THORChain, Chainflip e Umbra Cash, que permitem troca direta entre redes sem depender de exchanges centralizadas.
#PeckShieldAlert O @KelpDAO explorador começou a lavar os fundos roubados (~$176M).
Começaram a transferir pequenos lotes de fundos do #Ethereum para $BTC via @THORChain, @UmbraCash, @chainflip, e @BitTorrent. pic.twitter.com/4cm8dOjTWL
— PeckShieldAlert (@PeckShieldAlert) 21 de abril de 2026
Analistas da PeckShield observaram que o atacante deixou apenas cerca de 0,7 ETH em algumas carteiras, quantidade suficiente apenas para cobrir as taxas de transação, enquanto drenava o restante em novas rotas.
Esse padrão reflete um alto nível de disciplina operacional e planejamento.
Outra parte de 176 milhões de dólares dos fundos roubados também foi movimentada ativamente em transações paralelas.
Em vez de lavar tudo em um único fluxo, o atacante parece estar executando vários fluxos simultaneamente.
Essa abordagem escalonada reduz o risco de um único ponto de falha e torna os esforços de recuperação mais difíceis.
Vínculo com o infame Grupo Lazarus da Coreia do Norte?
A escala e a coordenação da operação levaram os investigadores a associar o exploit ao Grupo Lazarus da Coreia do Norte, especificamente a um subgrupo conhecido como TraderTraitor.
Essa atribuição é baseada em padrões de transação e técnicas de lavagem que coincidem com operações anteriores ligadas ao grupo.
O Lazarus tem um longo histórico de direcionar plataformas de criptomoedas e utilizar estratégias complexas de troca entre redes para obscurecer fundos roubados.
O uso de pontes descentralizadas e a rápida conversão de ativos observados no caso do KelpDAO se encaixam bem nesse padrão.
Fonte: coinjournal.net
