KelpDAO が盗まれた資金によるマネーロンダリング手順を開始、THORChain の日次取引量が10倍に急増

オンチェーン分析者スペクターの監視によると、北朝鮮のハッカー集団TraderTraitorは4月22日から、KelpDAOで盗まれた資金に対してマネーロンダリングを開始した。Arbitrumの安全委員会が約30,766枚のETHを凍結してからわずか3時間後だった。攻撃者は資金をTHORChainブリッジでビットコインネットワークへ接続し、その結果、日次取引高が日次平均の10倍を超えた。

マネーロンダリングの詳細：3つのウォレット、ミキシング手法、クロスチェーン移転

（出所：Arkham）

攻撃者は残った資金を3つのウォレットに分割した。1つ目は約2.5万枚のETH（約5,760万ドル）を保有し、2つ目は約2.57万枚のETH（約5,920万ドル）を保有し、3つ目は資金を受け取った直後にマネーロンダリングを開始しており、現時点では約3,800枚のETH（約800万ドル）しか残っていない。

盗難資金はマネーロンダリングの過程で、BTC Turk（2025）およびBybit（2025）のハッカー事件で得られた不正収益と混合された。これはTraderTraitor組織の典型的な運用パターンであり、複数の事件からの資金を統合することで、オンチェーン追跡の難易度を高める。スペクターは、関連する356のアドレスまで追跡できたものの、いくつかの中間ウォレットが統計に含まれておらず、プロセス全体で使用されたアドレス総数は400を超えていると指摘した。

KelpDAO攻撃の連鎖的影響：Aaveの不良債権からDeFi TVLが急落

Messariの分析によれば、今回の攻撃の根本原因はLayerZero EndpointV2の1:1 DVN設定にあり、攻撃者がクロスチェーンのメッセージを偽造できることだった。攻撃者は2つのLayerZero DVNノードへ侵入した後、rsETHの焼却を擬似的に実行して、116,500件のrsETHの無許可リリースを引き起こした。

下流への影響は迅速にDeFiエコシステム全体へ波及した。Aaveの不良債権は1.237億ドルから2.301億ドルの間と推計され、TVLは約458億ドルから357億ドルへ下落した。全体のDeFi TVLは48時間で130億ドル以上減少した。AAVEトークンは約25%下落し、WETH市場は使用率100%に到達し、62億ドルの資金流出を引き起こした。

初動対応とrsETH保有者向け補償計画

主な対応策には次が含まれる：Arbitrumの安全委員会が約30,766枚のETHを凍結すること、KelpがメインネットおよびL2層のすべてのrsETHコントラクトを停止すること、LayerZeroが今後1:1 DVN設定の利用を禁止すること。Kelpは現在、rsETH保有者に対して損失の16%を補償する措置を検討しているが、Messariは、この措置は影響を受けたプロトコルのユーザーの信頼や回復のダイナミクスに影響を与える可能性があると指摘している。

よくある質問

TraderTraitorはなぜTHORChainをマネーロンダリングの経路として選んだのか？

THORChainは許可不要のクロスチェーン流動性プロトコルであり、異なるブロックチェーン間で資産の交換を可能にする一方で、KYC検証を要求しない。先にBybitのハッカー事件でも、TraderTraitorは同様のTHORChain経路を採用しており、これが大規模な窃盗の後に北朝鮮のハッカー組織が固定的に用いる運用パターンになっていることを示している。

今回のマネーロンダリングではなぜBybitとBTC Turkの事件の資金と混合したのか？

資金の混合はマネーロンダリングの標準的な手法であり、複数の事件の盗難資金を統合したうえで、追跡担当者が特定の資金の元の出所や帰属を識別しにくくする。KelpDAOで盗まれた資金はTHORChainの流通過程で、2025年のBTC TurkおよびBybitのハッカー事件の不正資金とすでに混合され、解きほぐしにくい資金の連鎖を形成している。

Kelpの16%割合での損失補償計画はrsETH保有者にどのように影響するのか？

補償計画が最終的に確認された場合、rsETH保有者は保有割合に応じて約16%の損失を負担する。つまり、rsETHを100個保有する者の資産の名目価値は約16%割り引かれる。補償メカニズムは影響を受けたユーザーの損失を一部緩和するのに役立つが、rsETHおよびKelpプロトコル全体に対する市場の信頼の回復速度にも影響を与える可能性がある。