ケルプDAO流出資金、ハッカーが2億2000万ドルを洗浄　回収可能性は低下

ケルプDAO（Kelp DAO）を攻撃したハッカーが、凍結を免れた流出資金の大半を資金洗浄していたことが分かった。アービトラムのセキュリティ委員会が凍結した分を除けば、資金回収は大幅に難しくなった。

コインテレグラフが6月1日に報じたところによると、攻撃者は直近6週間で、凍結されていない流出資金のうち約2億2000万ドルを洗浄した。ブロックチェーンデータ企業アーカム（Arkham）によると、現在追跡可能な攻撃者ウォレットの残高は約170万ドルにとどまる。

攻撃は4月18日に発生した。攻撃者はケルプDAOのリステーキング型イーサリアムトークン「rsETH」を11万6500枚盗み出し、被害総額は2億9300万ドルに上った。これにより、4月の暗号資産ハッキング被害額は6億3000万ドルまで膨らんだ。

オンチェーン分析者のスペクターは、攻撃者が2段階で資金を洗浄したと説明した。まず暗号資産ミキサーのワサビ（Wasabi）を使って資金をビットコインにブリッジし、その後イーサリアムに戻して、トルネードキャッシュ（Tornado Cash）を通じた入出金を繰り返したという。

一部資金はなお凍結されたままだ。アービトラムのセキュリティ委員会は4月21日、7100万ドル規模の資金を凍結した。その後、ガバナンス提案と米裁判所の命令に基づき、対象資金をエイヴ（Aave）が管理するマルチシグウォレットに移す案が承認された。凍結資金の所有権を巡る次回審理は、6月6日にニューヨークで開かれる。

ケルプDAOは、直近5週間の復旧作業を経てrsETHトークンの復元を完了したと明らかにしている。最後の2万373.7rsETHは、クロスチェーン送金の過程でrsETHのロック、発行、バーン、解除を担うレイヤーゼロ（LayerZero）のスマートコントラクトに送られた。

5月の暗号資産ハッキング被害額は前月から大きく減った。セキュリティ企業サーティック（CertiK）によると、5月の暗号資産関連攻撃による被害額は6830万ドルと、4月比で約90%減少した。うちフィッシング攻撃による被害は約260万ドルだった。回収または返還された金額は940万ドルだった。

ただ、ケルプDAOへの攻撃は分散型金融（DeFi）の安全性を巡る懸念を改めて強めた。攻撃後、ビットコインDeFiプラットフォームのソルブプロトコル（Solv Protocol）と流動性プロトコルのタイドロ（Tide） は、チェーンリンク（Chainlink）のクロスチェーン相互運用プロトコル「CCIP」に移行した。ケルプDAOも従来のレイヤーゼロ基盤のブリッジを離れ、rsETHトークンをチェーンリンクCCIPに移した。

これに対しレイヤーゼロは、今回の攻撃は自社プロトコルの欠陥ではなく、ケルプDAOの実装方式における単一障害点に起因すると反論した。事前警告があったにもかかわらず、ケルプDAOが単一のレイヤーゼロDVNだけを検証経路として使っていた点が問題だったと指摘した。