От кражи до повторного выхода на рынок — как 292 миллиона долларов были «отмыты»?

Автор: @the_smart_ape; перевод: Peggy, BlockBeats

18 апреля Kelp DAO подверглась атаке, украдено около 292 миллиона долларов активов. Тогда в полностью публичной цепочной системе, как именно эти деньги шаг за шагом «очищались», превращаясь в оборотные активы?

Эта статья использует этот инцидент как точку отсчёта, чтобы разобрать высоко индустриализированный путь криптоотмывки: от подготовки анонимной инфраструктуры до использования Tornado Cash для разрыва связей в цепочке; от использования Aave и Compound для залога «ядовитых активов» и получения чистой ликвидности, до экспоненциального усложнения отслеживания через THORChain, межцепочные мосты и структуру UTXO, в конечном итоге — перевод в USDT на Tron и обмен на реальные деньги через внебиржевые сети.

В этом процессе не используются сложные «черные ящики», почти каждый шаг — «по правилам». Именно поэтому раскрытая структура этого пути показывает не уязвимость в отдельных точках, а структурное напряжение системы DeFi под открытостью, возможностью комбинирования и невозможностью аудита — когда сама архитектура протоколов допускает такие операции, «возврат средств» перестает быть технической задачей и становится вопросом границ системы.

Инцидент с Kelp DAO — это не просто авария безопасности, а скорее стресс-тест принципов работы криптомира: он демонстрирует, как хакеры превращают ваши деньги в свои, и почему в принципе трудно остановить этот процесс.

Как вам известно, 18 апреля один северокорейский хакер украл у Kelp DAO 292 миллиона долларов. Спустя пять дней более половины уже исчезли, разбросаны по тысячам кошельков, обменены через протоколы, которые нельзя приостановить, и в конечном итоге — отправлены на очень конкретное место назначения.

Интересно то, как украденные активы на сумму 2,92 миллиарда долларов, подтвержденные фактами, без возможности помешать, превращаются в наличные деньги в кармане Пхеньяна.

Цель этой статьи — раскрыть, как функционирует современный полный цикл криптоотмывки, почему он структурно не может быть остановлен и что именно покупают за каждую отмыванную доллар.

Первый этап: подготовка (за несколько часов до атаки)

Атакующие не начинали с прямого взлома. Тактика Lazarus всегда начинается с подготовки инфраструктуры.

За примерно 10 часов до атаки восемь новых кошельков были предварительно пополнены через Tornado Cash — миксер, который разрывает связь между источником и назначением средств.

Каждый кошелек получил по 0,1 ETH для оплаты Gas за последующие операции. Поскольку эти средства поступили из миксера, у них нет KYC-дан