Mastermind do exploit da Kelp DAO lavou $80 milhões através da THORChain numa sofisticada operação cross-chain

O cibercriminoso responsável pelo devastador exploit de 290 milhões de dólares na Kelp DAO lavou com sucesso aproximadamente 80 milhões de dólares em Ethereum roubado através do protocolo de exchange descentralizada da THORChain, marcando uma das operações de lavagem de dinheiro mais significativas da história das finanças descentralizadas. O sofisticado esquema de lavagem impulsionou o volume de 24 horas da THORChain para extraordinários 394 milhões de dólares, representando um aumento de mais de 11 vezes face aos volumes diários típicos do protocolo, inferiores a 35 milhões de dólares.

O dramático aumento de volume na THORChain revela como os cibercriminosos estão a recorrer cada vez mais a protocolos cross-chain descentralizados para obscurecer a origem de criptomoedas roubadas. Esta operação em particular demonstra a evolução das técnicas de lavagem de cripto para além dos serviços de mistura tradicionais, como o Tornado Cash, com os atores de ameaça a explorar agora as funcionalidades de privacidade inerentes às exchanges descentralizadas para processar enormes quantidades de fundos ilícitos.

O perpetrador, preliminarmente associado ao notório Grupo Lazarus da Coreia do Norte, executou o ataque original através de uma sofisticada operação de RPC-spoofing direcionada à infraestrutura da bridge LayerZero da Kelp DAO. Os atacantes comprometeram dois nós independentes a correr em clusters separados, substituíram os binários que executavam os nós op-geth e realizaram transações fraudulentas que contornaram as configurações de segurança insuficientes da Kelp, que exigiam apenas verificação única em vez de múltiplas confirmações.

Esta operação de lavagem através da THORChain representa uma mudança calculada na metodologia criminal. Ao contrário das exchanges centralizadas que implementam robustos protocolos de Conheça o Seu Cliente e monitorização de transações, a arquitetura descentralizada da THORChain permite swaps cross-chain anónimos sem verificação de identidade. A capacidade nativa do protocolo para facilitar trocas sem fricção entre Bitcoin, Ethereum e outras criptomoedas principais fornece um veículo ideal para a ocultação de fundos em larga escala.

A escala da operação de lavagem na THORChain sublinha a crescente sofisticação das operações de roubo de cripto patrocinadas por estados. O Ethereum é atualmente transacionado a 2.350,75 dólares, com uma subida de 1,67% nas últimas 24 horas, sugerindo que a massiva atividade de lavagem não impactou significativamente o sentimento geral do mercado. No entanto, os 80 milhões de dólares representam uma parte substancial do volume de negociação diário de 17,6 mil milhões de dólares do Ethereum, indicando o potencial impacto da operação no mercado.

A escolha da THORChain como destino de lavagem revela um conhecimento profundo dos protocolos DeFi e das suas características operacionais. Os pools de liquidez contínuos e a funcionalidade de market maker automatizado (AMM) da THORChain permitem grandes transações sem o deslizamento de preço tipicamente associado a volumes tão substanciais em plataformas centralizadas. Esta expertise técnica alinha-se com as avaliações de inteligência sobre as capacidades cibernéticas da Coreia do Norte, que têm demonstrado crescente sofisticação em operações DeFi.

O momento desta operação de lavagem coincide com uma maior fiscalização regulatória dos protocolos de bridge cross-chain na sequência de múltiplos exploits de alto perfil ao longo de 2025 e 2026. O incidente da Kelp DAO, inicialmente atribuído à infraestrutura de segurança da LayerZero antes de a culpa ser atribuída às próprias escolhas de configuração da Kelp, destacou vulnerabilidades fundamentais nos protocolos de comunicação cross-chain que permitem transferências massivas de fundos entre diferentes redes blockchain.

A análise de mercado revela que esta técnica de lavagem explora uma lacuna crítica nas capacidades atuais de forense de blockchain. Embora o rastreamento de transações on-chain permaneça robusto dentro das redes blockchain individuais, os protocolos cross-chain como a THORChain criam pontos cegos analíticos que atores de ameaça sofisticados podem explorar. O design do protocolo, que queima tokens RUNE nativos e cunha ativos equivalentes nas cadeias de destino, cria percursos de transação complexos que as ferramentas tradicionais de análise de blockchain têm dificuldade em rastrear eficazmente.

O pico de volume de 394 milhões de dólares demonstra também a enorme liquidez disponível nas exchanges descentralizadas, sugerindo que operações de lavagem ainda maiores poderiam potencialmente ser absorvidas sem acionar disjuntores automáticos ou alertas de atividade invulgar. Esta profundidade de liquidez representa desafios contínuos para reguladores e agências de aplicação da lei que tentam monitorizar e prevenir a lavagem de dinheiro em cripto em larga escala.

Empresas de segurança profissionais que rastreiam os fundos roubados reportam que a operação de lavagem empregou sofisticados mecanismos de temporização, provavelmente concebidos para misturar grandes transações com atividade de negociação legítima durante as horas de pico do mercado. Esta abordagem minimiza a deteção por sistemas de monitorização automatizados que sinalizam padrões de volume invulgares ou tamanhos de transação relativamente às normas históricas.

A lavagem bem-sucedida de 80 milhões de dólares através da THORChain mantendo a segurança operacional representa um marco preocupante na sofisticação criminal em cripto. As ferramentas tradicionais de aplicação da lei concebidas para sistemas financeiros centralizados revelam-se inadequadas face a protocolos descentralizados que operam em múltiplas jurisdições sem supervisão central ou mecanismos de conformidade.

Este incidente reforça a necessidade crítica de medidas de segurança reforçadas em todos os protocolos DeFi, particularmente os que facilitam transações cross-chain. A combinação de incentivos financeiros substanciais, capacidades técnicas sofisticadas e oportunidades de arbitragem regulatória continua a atrair grupos de ameaças persistentes avançadas para o ecossistema das criptomoedas.

À medida que o Ethereum mantém a sua posição como a segunda maior criptomoeda com uma capitalização de mercado de 284,1 mil milhões de dólares e 10,98% de dominância de mercado, a lavagem bem-sucedida de valores tão substanciais através de infraestrutura descentralizada destaca a evolução contínua do crime em ativos digitais e a consequente necessidade de frameworks de segurança adaptativas.