KelpDAO 被盗资金启动洗钱程序，THORChain 日成交量飙升 10 倍

链上分析师 Specter 监测显示，朝鲜黑客组织 TraderTraitor 于 4 月 22 日开始对 KelpDAO 被盗资金实施洗钱操作，距 Arbitrum 安全委员会冻结约 30,766 枚 ETH 后仅三小时。攻击者将资金以 THORChain 桥接至比特币网络，导致日交易超过 30 日日均值 10 倍。

洗钱操作细节：三个钱包、混合手法与跨链转移

（来源：Arkham）

攻击者将剩余资金拆分至三个钱包：第一个持有约 2.5 万枚 ETH（约 5,760 万美元），第二个持有约 2.57 万枚 ETH（约 5,920 万美元），第三个在收到资金后立即开始洗钱，目前仅剩约 3,800 枚 ETH（约 800 万美元）。

被盗资金在洗钱过程中与 BTC Turk（2025）及 Bybit（2025）黑客事件的非法所得相混合，这是 TraderTraitor 组织的典型操作模式——通过整合多起事件的资金，增加链上追踪难度。Specter 指出，虽然其追踪到 356 个相关地址，但仍有若干中间钱包未纳入统计，整个过程使用的地址总数超过 400 个。

KelpDAO 攻击的连锁影响：Aave 坏账到 DeFi TVL 骤降

根据 Messari 分析，此次攻击的根本原因在于 LayerZero EndpointV2 的 1:1 DVN 配置，允许攻击者伪造跨链消息。攻击者入侵两个 LayerZero DVN 节点后，模拟 rsETH 销毁并触发了 116,500 个 rsETH 的未授权释放。

下游影响迅速蔓延至整个 DeFi 生态：Aave 坏账估计在 1.237 亿至 2.301 亿美元之间，TVL 从约 458 亿美元降至 357 亿美元；整体 DeFi TVL 在 48 小时内下降超过 130 亿美元；AAVE 代币下跌约 25%；WETH 市场达到 100% 的使用率，引发 62 亿美元的资金外流。

早期应对措施与 rsETH 持有者补偿计划

主要应对措施包括：Arbitrum 安全委员会冻结约 30,766 枚 ETH；Kelp 暂停主网和 L2 层所有 rsETH 合约；LayerZero 禁止未来使用 1:1 DVN 配置。Kelp 正考虑对 rsETH 持有者采取 16% 的比例损失补偿措施，但 Messari 指出，此举可能影响受影响协议的用户信心和恢复动态。

常见问题

TraderTraitor 为何选择 THORChain 作为洗钱通道？

THORChain 是无需许可的跨链流动性协议，允许在不同区块链之间兑换资产且不要求 KYC 验证。此前在 Bybit 黑客事件中，TraderTraitor 也采用了相同的 THORChain 通道，显示这已成为朝鲜黑客组织在大规模窃盗后固定的操作模式。

此次洗钱为何要与 Bybit 和 BTC Turk 事件的资金混合？

资金混合是洗钱的标准操作手法，将多起事件的被盗资金合并后，使追踪人员更难以识别特定资金的原始来源和归属。KelpDAO 被盗资金在 THORChain 流通过程中，已与 2025 年 BTC Turk 及 Bybit 黑客事件的非法资金相混合，形成更难解开的资金链。

Kelp 的 16% 比例损失补偿计划如何影响 rsETH 持有者？

若补偿计划最终确认，rsETH 持有者将按持仓比例承担约 16% 的损失，即每 100 个 rsETH 的持有者，资产名义价值将被打折约 16%。补偿机制有助于部分缓解受影响用户的损失，但也可能影响市场对 rsETH 及 Kelp 协议整体的信心恢复速度。