سوءاستفاده‌کننده KelpDAO 75,700 ETH را در دو کیف پول جدید دقایقی پس از توقف Arbitrum جابجا کرد

این پست KelpDAO Exploiter Moves 75,700 ETH Across Two New Wallets Minutes After Arbitrum's Freeze اولین بار در Coinpedia Fintech News منتشر شد

سوءاستفاده‌کننده KelpDAO در تاریخ 1405/02/01، مبلغ 75,700 ETH (تقریباً ۱۷۵ میلیون دلار) را به دو آدرس کیف پول جدید انتقال داد. این اتفاق تنها چند ساعت پس از اعلام شورای امنیتی Arbitrum مبنی بر مسدود کردن 30,766 ETH مرتبط با همین هک رخ داد. 

این موضوع نشان می‌دهد که مهاجم به‌طور فعال تلاش می‌کند از تلاش‌های بازیابی جلوتر بماند.

سوءاستفاده‌کننده KelpDAO مبلغ ۱۷۵ میلیون دلار ETH را به کیف پول‌های جدید منتقل کرد

شورای امنیتی Arbitrum به‌زحمت از مسدود کردن 30,766 ETH (به ارزش ۷۰ میلیون دلار) فراغت یافته بود که سوءاستفاده‌کننده اقدام بعدی خود را انجام داد.

بر اساس گزارش شرکت امنیتی بلاک چین PeckShieldAlert، مهاجم KelpDAO مجموعاً 75,700 ETH را به دو آدرس کیف پول کاملاً جدید منتقل کرد. 

داده‌های آنچین تأیید می‌کند که انتقال‌ها به‌وضوح به دو بخش تقسیم شده‌اند.

• اول، حدود 25,000 ETH ($57.93M) به آدرس 0xF980…15910 ارسال شد.
• دوم، حدود 50,700 ETH ($117.48M) به آدرس 0xABc8…36FAD ارسال شد.

در همین حال، هر دو تراکنش علامت‌گذاری شدند و کیف پول منبع در ردیاب‌های آنچین با نام Kelp DAO Exploiter 1 مشخص شده است.

Umbra Cash و THORChain: یک مسیر فرار دو لایه

آنچه این وضعیت را جدی‌تر می‌کند نه‌تنها سرعت جابجایی وجوه، بلکه مقصد آن‌هاست.

انتقال‌های کوچک ETH از طریق Umbra Cash انجام شده که با استفاده از آدرس‌های یک‌بارمصرف، ردپای تراکنش‌ها را پنهان می‌کند.

اما جابجایی در همین‌جا متوقف نشد. 

شرکت امنیتی بلاک چین CertiK گزارش می‌دهد که مهاجم همچنین از طریق THORChain وجوه را به ارز دیجیتال بیت کوین منتقل می‌کند؛ سیستمی که امکان جابجایی دارایی‌ها بین بلاک چین‌ها را بدون نیاز به صرافی مرکزی فراهم می‌کند.

این ابزارها در کنار هم به مهاجم کمک می‌کنند ابتدا ردپا را در اتریوم پنهان کند و سپس وجوه را به‌طور کامل از شبکه به ارز دیجیتال بیت کوین منتقل کند و بازیابی را بسیار دشوارتر سازد.

کیف پول قدیمی تقریباً خالی شد، حتی کارمزد گس هم باقی نماند

کیف پول اصلی اکنون تقریباً به‌طور کامل تخلیه شده است. تنها حدود 0.768 ETH باقی مانده که برای پوشش کارمزدهای تراکنش آتی کافی نیست. این موضوع به‌وضوح نشان می‌دهد که مهاجم آدرس را ترک کرده و عملیات را به کیف پول‌های جدید منتقل کرده است.

آن مسدودسازی به‌وضوح یک واکنش فوری از سوی سوءاستفاده‌کننده را ترایگر کرد که بدون اتلاف وقت وجوه باقی‌مانده را پراکنده کرد.

مرحله بعدی چیست؟

در حال حاضر، وضعیت همچنان پرتنش است. تمام توجه‌ها به این است که آیا شورای امنیتی Arbitrum، مجریان قانون و ردیاب‌های بلاک چین می‌توانند به‌اندازه کافی سریع عمل کنند تا جابجایی‌های کیف پول جدید را دنبال کنند.

30,766 ETH که پیش‌تر مسدود شده بود همچنان به‌طور ایمن قفل است. با این حال، 75,700 ETH که اکنون در دو کیف پول جدید قرار دارد ایمن‌سازی نشده و این موضوع گام‌های بعدی را بسیار مهم می‌سازد.

در همین حال، تیم‌های امنیتی اکنون این آدرس‌های جدید را به‌دقت زیر نظر دارند. هرگونه جابجایی بیشتر می‌تواند سرنخ‌هایی درباره گام بعدی مهاجم ارائه دهد.