Düzenleyici Notu: 18 Nisan'da Kelp DAO hedef alındı ve yaklaşık 292 milyon dolarlık varlıklar çalındı. Peki, tamamen açık bir zincir üstü sistemde, bu para nasıl adım adım "açıldı" ve işlem yapılabilir varlıklara dönüştürüldü?
Bu olayı bir giriş noktası olarak alarak, yüksek düzeyde endüstriyelleştirilmiş bir kripto para aklatma yolu incelenmektedir: saldırıdan önce anonim altyapı hazırlığından, Tornado Cash kullanarak zincir üzerindeki bağlantıları kesmeye; Aave ve Compound üzerinden "zehirli varlıkları" teminat gösterip temiz likidite elde etmeye; ardından THORChain, çapraz zincir köprüleri ve UTXO yapısı aracılığıyla izlenebilirliği katlanarak artırarak, nihayet Tron üzerindeki USDT sistemine akıtılıp, dış pazar ağı üzerinden gerçek dünyadaki nakit para haline getirilmesine kadar.
Bu süreçte karmaşık siyah kutu işlemlerine yer yoktur ve neredeyse her adım “kurallara uygun” şekilde yürütülür. Tam olarak bu nedenle, bu yolculuk, tekil bir güvenlik açıklaması değil, DeFi sisteminin açıkness, birleştirilebilirlik ve denetlenemezlik altındaki yapısal gerilimini ortaya koyar—protokol tasarımı kendiliğinden bu işlemlerin varlığını izin verdiğinde, “fonların geri alınması” artık bir teknik sorun değil, sistem sınırı sorunudur.
Kelp DAO olayı, sadece bir güvenlik ihlali değil, kripto dünyasının çalışma mantığı üzerindeki bir basın testi gibi de görüldü: bu olay, hakerlerin nasıl paranızı kendi paranıza dönüştürdüğünü gösterdi ve bu sistemin neden ilke olarak bu sürecin yaşanmasını engellemekte zorlandığını ortaya koydu.
Olduğunu bildiğiniz gibi, 18 Nisan'da bir Kuzey Koreli hacker, Kelp DAO'dan 292 milyon dolar çaldı. Beş gün sonra, bu tutarın yarısından fazlası kayboldu, binlerce cüzdana dağıtıldı ve durdurulamayan protokoller aracılığıyla sonunda çok belirli bir hedefe ulaştı.
İlginç olan şurada: 292 milyon dolarlık kanıtlanmış bir şekilde çalınan kripto varlıkları, kimse engelleyemeden Pyongyang'ın cebine nakit para haline getirmek.
Bu metnin amacı, modern kripto para aklama süreçlerinin neden işlediğini, yapısal olarak neden engellenemediğini ve her dolar aklandıktan sonra ne satın alındığını ortaya koymaktır.
Birinci aşama: Hazırlık (Saldırıdan saatler önce)
Saldırganlar doğrudan çalmayla başlamadı. Lazarus organizasyonunun yöntemi, her zaman altyapı hazırlığıyla başlar.
Saldırıdan yaklaşık 10 saat önce, 8 tamamen yeni cüzdan Tornado Cash aracılığıyla önceden finanse edildi—Tornado Cash, fon kaynakları ile hedefleri arasındaki bağlantıyı kesen bir karıştırıcıdır.
Her cüzdana, sonraki tüm işlemler için Gas ücretlerini ödemek üzere 0,1 ETH aktarıldı. Bu cüzdanlardaki fonlar karıştırıcıdan geldiğinden, bir borsa KYC kaydı yoktur ve geçmiş işlem izleri bulunmamaktadır; bu nedenle herhangi bir bilinen varlıkla ilişkilendirilemez. Temiz bir tahta.
Saldırıdan önce, saldırgan Ethereum ana ağından Avalanche ve Arbitrum'a üç çapraz zincir transferi gerçekleştirdi—amacı, bu iki L2'de gaz önceden depolamak ve çapraz köprü işlemini test etmek, büyük tutarlı transferlerde her şeyin sorunsuz çalışmasını sağlamak.
İkinci Aşama: Hırsızlık
Bağımsız bir saldırı başlatma cüzdanı (0x4966…575e), LayerZero EndpointV2 sözleşmesindeki lzReceive fonksiyonunu çağırdı. Doğrulayıcılar başarıyla kandırıldığı için bu çağrı, legítim bir çapraz zincir mesajı olarak kabul edildi. Kelp’in çapraz köprü sözleşmesi Kelp DAO: RSETH_OFTAdapter (Etherscan adresi: 0x85d…), hemen 116.500 rsETH’i 0x8B1’e serbest bıraktı.
Tüm dolaşımdaki rsETH'in %18'i. Tek bir fonksiyon çağrısıyla tamamen ortadan kalktı.
46 dakika sonra, UTC 18:21'de Kelp'in acil çok imzalı anahtarı protokolü durdurdu. UTC 18:26 ve 18:28'de saldırgan, her seferinde yaklaşık 40.000 rsETH (her biri yaklaşık 100 milyon dolar) çalmayı amaçlayarak tam olarak aynı yöntemi iki kez daha denedi; ancak her iki durumda da Kelp'in hızlı şekilde kesintiye uğratması nedeniyle işlemler geri alındı. Aksi takdirde, toplam çalınan miktar yaklaşık 500 milyon dolara ulaşabilirdi.
Üçüncü Aşama: Aave + Compound İşlemi
rsETH, Kelp'in köprüyü durdurması veya çalınan token'ları karalisteye alması durumunda değeri sıfıra düşen bir belge tokenidir. Saldırganın, bunu dondurulamaz bir varlığa dönüştürmek için sadece birkaç dakikası vardır. Kelp, çalınma olayından 46 dakika sonra durdurma işlemi yaptı—bu çok geçti.
292 milyon dolarlık likidite olmayan restaking token'larını doğrudan açık piyasada satmak, fiyatı birkaç dakika içinde %30'un üzerinde düşürecek. Bu nedenle, onun yerine DeFi kredi protokollerini para aklama aracı olarak kullanarak hızlıca satış yaptı.
0x8B1 alım cüzdanı, çalınan 116.500 rsETH'yi diğer yedi alt cüzdana dağıttı. Her bir alt cüzdan, hemen Aave ve Compound V3'e giriş yaptı, rsETH'in bir kısmını teminat olarak yatırdı ve ETH kredi aldı.
7 dalın toplam pozisyonu şöyledir:
· Teminat olarak yatırılan: 89.567 rsETH
· Kiralama: Yaklaşık 82.650 WETH ve 821 wstETH, toplamda yaklaşık 190 milyon ABD doları temiz ve likit Ethereum varlığı
Her dalın sağlık katsayısı 1,01 ile 1,03 arasında ayarlanmıştır—protokolün tahliyeden önce izin verdiği mutlak üst sınır
Saldırgan, toplam değeri 292 milyon dolar olan, işaretlenmiş ve neredeyse nakde çevrilemeyen rsETH'leri, 190 milyon dolarlık ETH ile değiştirdi. rsETH'lerin sonunda Kelp'in çapraz köprüde varlık yetersizliği nedeniyle iade edilemez hale gelip neredeyse sıfıra düşmesiyle, kredi protokolü yatırımcıları kayıpları taşıdı.
Aave, 200 milyon doların üzerindeki kötü borçları olduğunu fark edilen kullanıcılar tarafından panikle terk edildi. Aave, 48 saat içinde 8 milyar dolarlık TVL'sini (toplam kilitlenen değer) kaybetti. Bu en büyük DeFi kredi protokolü, ilk gerçek banka koşturması yaşadı — ve tetikleyici, bir saldırganın protokolün tamamen tasarlandığı şekilde kullanımındaydı.
Dördüncü Aşama: Fonların Birleştirilmesi ve Bölünmesi
Aave/Compound kredisi tamamlandıktan sonra, 7 dal, alınan ETH'yi üçüncü kat entegrasyon cüzdanına (0x5d3) gönderir.
Şu anda tüm işlem kümesi net bir üç katmanlı yapıya sahiptir:
1. Alım: 0x8B1 (aynı şekilde Tornado Cash üzerinden finanse edilmiştir), orijinal çalınan 116.500 rsETH alındı
2. İşlem: Tornado Cash ile finanse edilen 7 alt cüzdan, Aave/Compound işlemlerini gerçekleştiriyor
3. Entegrasyon: 0x5d3, yaklaşık 71.000 ETH kredi tutarını yeniden birleştirerek para aklama sürecine dahil eder
Para ardından iki zincir arasında dağıtılır:
·75.700 ETH, Ethereum ana ağında kalır
·Arbitrum'da 30.766 ETH (yaklaşık 71 milyon ABD doları)
Arbitrum Güvenlik Komitesi, Arbitrum üzerindeki bu varlıkları dondurma oylaması gerçekleştirdi ve 71 milyon doları, yalnızca gelecekteki yönetimsel kararla kilit açılabilen bir yönetimsel kontrol cüzdanına aktardı.
Buzlanma sonrası, haker hemen ana ağda kalan ETH'yi aktardı ve para aklama sürecini hızlandırdı. Bu eylemlerden, hakerin Arbitrum'un böyle bir adım atacağını tahmin etmediği görülüyor.
Beşinci Aşama: İlk Sızıntı
Saldırıdan dört gün sonra, 0x5d3 boşaltmaya başladı. Arkham, birkaç saat içinde 3 ayrı transferi takip etti.
Zaman kasıtlı olarak seçildi: Salı, Avrupa işlem saatleri. ABD soruşturma görevlileri hâlâ dinleniyor, Avrupa uyumluluk departmanları Pazartesi günü birikmiş işleri işliyor, Asya borsaları kapanışa yakındır.
Daha sonra, aktarım modeli patlayıcı bir şekilde yayılmaya başladı. Her bir ilk dalga hedefi hemen yeniden yayıldı: 0x62c7, yaklaşık 60 yeni oluşturulan cüzdana, 0xD4B8 ise başka yaklaşık 60 cüzdana aktarıldı. Saatler içinde, ilk başta düzgün görünen 10 cüzdan kümesi, tespiti kaçmak için her birinde küçük miktarlar tutan 100’den fazla tek kullanımlık adreslere genişledi ve tüm adresler paralel olarak finanse edildi.
Lazarus, HD cüzdan betiklerini çalıştırıyor—tek bir hatırlatma kelimesi, saniyeler içinde binlerce tamamen yeni adresi matematiksel olarak türetebilir; bir worker havuzu (Python + web3, ethers.js veya kendi dahili araçları) ile birlikte tüm adres ağını paralel olarak imzalayıp yayınlayabilir. Bu kodu, 2018'den beri sürekli olarak geliştirmişlerdir.
Bu aşama sona erdiğinde, doğrusal olarak izlenebilir zincir kaybolmuştu. 10 cüzdanın işlem kümeleri, 100’den fazla parçalanmış cüzdana patladı ve fonlar aynı anda onlarca bağımsız girişten gizlilik yörüngesine girdi.
6. Aşama: THORChain — Kaçış Makinesi
Gerçek kesim noktası THORChain'de gerçekleşti.
THORChain, çapraz zincir yerel varlık takasını destekleyen merkeziyetsiz bir protokoldür. Ethereum'da ETH gönderdiğinizde, Bitcoin ağında size BTC verir.
Sadece 22 Nisan günü THORChain'in 24 saatlik takas hacmi 460 milyon ABD dolarına ulaştı. Bu protokolün normal günlük ortalama işlem hacmi yaklaşık 15 milyon ABD dolarıdır. Bu hırsızlık olayı, protokolün günlük normal kullanım hacminin 30 katını tek günde kapladı.
Aynı 24 saatlik pencere içinde protokol toplam 494.000 ABD doları gelir oluşturdu ve bu gelir bonder (düğüm operatörleri), likidite sağlayıcılar, geliştirme fonu, ittifak entegratörleri ve pazarlama fonu arasında paylaştırıldı.
Aynı zamanda, fonlar daha küçük ancak birbirini tamamlayan bir gizlilik yolu grubu aracılığıyla paralel olarak akıyor:
·Umbra: Ethereum üzerindeki gizli adres protokolü. Tek kullanımlık bir adrese fon göndermeye izin verir ve yalnızca alıcı, paylaşılan anahtarı kullanarak bu adresi hesaplayabilir. Zincir üzerindeki izleyiciler gerçek hedefi tespit edemez. İlk etkinlikte yaklaşık 78.000 dolar takip edildi, ardından araç ipuçlarını kaybetti.
·Chainflip: THORChain ile benzer bir modeli olan diğer bir çapraz zincir DEX.
·BitTorrent Chain: Tron ile bağlantılı düşük maliyetli, düşük düzenlemeli bir yan zincir.
·Tornado Cash: İlk gaz ön yüklemesiyle aynı karıştırıcı. ABD Hazine Bakanlığı, 2022 yılında bu karıştırıcıyı yaptırımlar listesine ekledi.
Her protokol katmanında izleme maliyeti yaklaşık 10 kat artar. 5 katmandan sonra, dijital kanıt şirketleri teorik olarak her parçayı izleyebilir, ancak ekonomik maliyet geri kazanılabilir değeri aşar.
7. Aşama: Bitcoin UTXO Parçalanması
THORChain üzerinden ETH'yi BTC'ye dönüştürmek, paranızı kağıt parçalarına dönüştürmek demektir.
Ethereum, hesap modelini kullanır; bakiyeniz bir adrese bağlı basit bir sayıdır. Bitcoin ise UTXO (harcanmamış işlem çıktısı) modelini kullanır—her UTXO, tam işlem geçmişiyle birlikte bir coin parçasıdır. Bitcoin harcandığında, bu parçalar bölünür ve yeniden birleştirilerek yeni parçalar oluşturulur.
100 dolarlık bir kağıt parayı 87 parçaya bölüp, her bir parçayı tekrar 87 parçaya bölüp bu işlemi 7 kez tekrarladığınızı hayal edin. Teknik olarak, her bir parçanın orijinal kağıt paraya kadar izlenebilir. Ancak pratikte, hiçbir el yapımı delil inceleme ekibi, binlerce paralel zinciri gerçek zamanlı olarak izleyebilir ve tam resmi oluşturup yeterince hızlı bir şekilde harekete geçebilir.
Bu nedenle THORChain, hem fonları herhangi bir yaptırımdan geçemeyen sınırları aşarak hem de fonları izlenemez tozlara böldü.
8. Aşama: Tron USDT Yörüngesi
Bitcoin ve gizlilik katmanından sonra, fonlar aynı hedefe: Tron üzerindeki USDT'ye yeniden birleşiyor.
Çoğu kişi, para aklamanın ana sahasının BTC olduğunu düşünür, bu yanlıştır. Gerçek ana saha, Tron üzerindeki USDT'dir. Veriler, USDT-Tron'un her yıl diğer tüm zincirlerin toplamından daha fazla yasadışı kripto varlık işlem hacmi taşıdığını göstermektedir.
Kelp serbest dolaşımında, yol şu şekildedir: BTC, Tron'a köprülenir, USDT'ye çevrilir ve ardından Tron adresleri arasında birden fazla kez aktarılır. Tron üzerindeki her bir atlama maliyeti çok düşüktür; birkaç sent harcayarak 10 kat daha fazla parçalanma ekleyebilirsiniz.
Dokuzuncu Aşama: Çekim — Kripto Para Para Oluyor
Her bir hacker saldırısının sonunda, fonlar, belgelenmiş ve belirli bir insan araçı ağı aracılığıyla nakit para birimine çevrilir.
Çin ana karası ve Güneydoğu Asya'da faaliyet gösteren bir dizi OTC aracı, USDT-Tron yatırımlarını yerel para birimi nakit olarak ödemektedir. Bu aracılardan bazıları lisanssız gizli bankalardır. Çok sayıda müşteri (uygundan uygun olmayana kadar)的资金 akışını bir araya getirir, dahili olarak netleştirir ve Çin'in yerel ödeme ağı olan UnionPay üzerinden fiat para birimiyle ödemeler yapar—UnionPay, SWIFT sistemi ve Batı yaptırımlarının uygulama kapsamının tamamen dışındadır.
Bu aracı kurumların kontrolündeki hesaplardan, para, genellikle Hong Kong, Macau veya üçüncü bir yargı bölgesinde kayıtlı shell şirketler adına tutulan Kuzey Kore kontrolündeki banka hesaplarına aktarılır. Ardından bu hesaplardan, hawala tarzı resmi olmayan temizleme, fiziksel nakit nakliyesi ve ön plan şirketlerinin satın alınması yoluyla para, Pyongyang'a geri aktarılır.
ABD Güvenlik Konseyi, FBI ve ABD Hazine Bakanlığı, bu fonların nihai varış yerini bağımsız olarak kaydetmiştir. Kuzey Kore'nin balistik füze programı, nükleer silah geliştirme ve uluslararası yaptırımlardan kaçınma çabaları, bu tür fon akışlarının sürekli desteklenmesine dayanmaktadır.
2024 Birleşmiş Milletler raporuna göre, kripto hırsızlıkları, Kuzey Kore'nin tüm döviz gelirinin yaklaşık %50'sini oluşturuyor ve kömür ihracatı, silah satışları ve işgücü ihraçlarının toplamından daha fazla olacak şekilde Kuzey Kore'nin silah programının öncelikli finansman kaynağı haline geliyor.