全球合规

朝鲜TraderTraitor组织六周内清洗Kelp DAO 2.2亿美元被盗资产:OFAC制裁混币器合规困境与跨链AML执法真空

Posted on by Tony
07
6 月

核心摘要

  • 朝鲜国家支持的黑客组织 TraderTraitor(UNC4899) 在六周内完成了 Kelp DAO 跨链桥攻击中约 2.2 亿美元未冻结资产的清洗,原始钱包仅剩约 170 万美元可追踪。
  • 洗钱通道覆盖四条隐私协议——THORChain、Wasabi CoinJoin、Tornado Cash 和 Umbra——形成比特币与以太坊双层混币的技术闭环。
  • Arbitrum 安全委员会于攻击后第三天冻结约 7,100 万美元 ETH,目前该笔资产正面临 DeFi 用户赔偿与朝鲜恐怖主义受害者司法索赔 之间的法律竞合。
  • 此次事件暴露了 OFAC 制裁混币器在 DeFi 跨链环境中的执行真空:Tornado Cash 虽在制裁名单中,但通过跨链跳转仍可有效规避链上风控。
  • Kelp DAO 已完成用户赔偿并迁移至 Chainlink CCIP 基础设施,但资产追回窗口已实质性关闭,突显 VASP 持牌机构的事前交易监控与制裁筛查义务 的紧迫性。
📑 文章目录
  1. 攻击事件回顾 — LayerZero 单 DVN 配置漏洞与 2.93 亿美元损失全景
  2. 洗钱技术路径拆解 — THORChain → Wasabi → Tornado Cash → Umbra 四层隐私闭环
  3. 资产冻结与法律竞合 — Arbitrum 治理冻结 vs 恐怖主义受害者索赔的司法博弈
  4. OFAC 制裁混币器的合规困境 — 制裁名单在跨链 DeFi 环境中的执行真空
  5. 持牌机构合规启示 — VASP 事前交易监控、制裁筛查与跨链风险治理

本文由 Aiying 艾盈合规团队原创,转载需授权。

2026 年 4 月 18 日,Kelp DAO 的 LayerZero 跨链桥配置遭到定向攻击,朝鲜国家支持的黑客组织 TraderTraitor 利用协议的单 DVN 验证路径漏洞,铸造 116,500 枚无抵押 rsETH 代币,总损失规模高达约 2.93 亿美元。在 Arbitrum 安全委员会紧急冻结约 7,100 万美元后,剩余约 2.2 亿美元未冻结资产在短短六周内通过四条隐私协议通道完成清洗,资产追回窗口已基本关闭。这一事件不仅刷新了 2026 年单起 DeFi 攻击的损失纪录,更将 OFAC 制裁混币器在跨链环境中的执行效能、以及 VASP 持牌机构的制裁筛查义务推至台前。

一、攻击事件回顾

1.1 漏洞根因:单 DVN 配置背离安全最佳实践

根据 LayerZero 于 4 月 20 日发布的声明(LayerZero,2026-04-20),Kelp DAO 在跨链桥配置中采用了单一 LayerZero 去中心化验证者网络(DVN)作为独占验证通道,这一配置与 LayerZero 明确提出的安全最佳实践建议直接相悖。攻击者通过欺骗该 DVN 节点,成功伪造了跨链消息证明,从而在目标链上铸造了 116,500 枚无抵押 rsETH。

技术分析显示,此次攻击并非 LayerZero 协议层的安全缺陷,而是协议集成层面的配置不当。然而,攻击造成的实际损失使 2026 年 4 月全行业加密盗窃总额飙升至约 6.3 亿美元(CertiK,2026-04),其中 Kelp DAO 单起事件占比超过 46%。

1.2 攻击者身份:朝鲜 TraderTraitor(UNC4899)

网络安全研究员已将此次攻击归因于 TraderTraitor 组织(亦称 UNC4899),该组织为朝鲜国家支持的网络威胁行为体(North Korean state-sponsored threat actor)。TraderTraitor 近年来涉及多起备受瞩目的加密货币盗窃案,包括此前对多家中心化交易所的攻击,其行动模式已被美国财政部外国资产控制办公室(OFAC)列入制裁名单。

Arkham Intelligence 提供的链上追踪数据(Arkham Intelligence,2026-06)显示,攻击者在得手后迅速将超过 75,000 ETH 转移至新创建的钱包地址,并在随后数周内将这些资产逐步分发至多个区块链网络和匿名化服务。

二、洗钱技术路径拆解

2.1 四层隐私闭环:从比特币混币到以太坊匿名支付

攻击者采用的洗钱路径呈现双层跨链 + 四工具协同的技术特征,整个过程耗时约六周(The Defiant,2026-06-02):

阶段 工具 所在链 功能
第一阶段 THORChain 跨链 DEX ETH → BTC 跨链兑换(异常高交易量)
第二阶段 Wasabi CoinJoin 比特币 BTC 混币混淆交易轨迹
第三阶段 Tornado Cash 以太坊 ETH 混币切断链上关联
第四阶段 Umbra 以太坊 L2 匿名支付协议隐藏最终流向

这一多层架构的核心策略在于利用比特币和以太坊两个异构链的隐私工具组合,制造跨链追踪的技术断层。传统链上分析工具通常专注于单一链的地址聚类,而 TraderTraitor 通过 THORChain 的跨链跳转,在比特币端使用 Wasabi 混淆后重新桥接回以太坊端使用 Tornado Cash,使得跨链资金流的完整图谱重建极为困难。

2.2 制裁混币器的”名存实亡”困境

值得高度关注的是,上述四条洗钱通道中,Tornado Cash 早已于 2022 年 8 月被 OFAC 列入 SDN 名单美国财政部,2022-08-08),但在此次攻击中仍被大量使用。这表明在跨链 DeFi 环境中,制裁名单的执行力面临严峻挑战:

  • 前端阻断有限:Tornado Cash 的智能合约部署在以太坊链上,前端被封锁后攻击者仍可通过直接合约交互绕过封禁。
  • 跨链跳转稀释追踪:THORChain → Bitcoin → Ethereum 的路径使得单链的地址黑名单策略失效。
  • 混币后资金进入 CEX:清洗后的资金最终大概率通过中心化交易所(CEX)变现,对 CEX 的制裁筛查能力提出更高要求。

三、资产冻结与法律竞合

3.1 Arbitrum 紧急冻结的司法授权争议

2026 年 4 月 21 日(攻击后第三天),Arbitrum 安全委员会依据联邦法院指令与社区治理投票,紧急冻结了约 7,100 万美元 ETH,并将该笔资产转移至由 Aave 管理的多签钱包(Blockonomi,2026-06-02)。

这笔冻结资产目前是唯一可行的直接资金追回途径,但面临二方法律竞合:

  1. Kelp DAO 用户赔偿方向:协议声称已将赔偿计划执行完毕,向受害者分发了 20,373.7 枚 rsETH 代币,并通过迁移至 Chainlink CCIP 完成了基础设施重建。
  2. 朝鲜恐怖主义受害者索赔方向:持有针对朝鲜恐怖主义相关案件司法赔偿判决的家庭,对冻结资产提出了竞合索赔,纽约法院已安排听证会裁定合法所有权。

这一法律博弈揭示了 DeFi 安全事件中一个尚待明确的司法命题:当国家级黑客行为的受害者(DeFi 用户)与国家恐怖主义的受害者(司法判决持有人)同时对同一笔资产主张权利时,优先权如何分配?

四、持牌机构合规启示

4.1 事前交易监控:从地址筛查到跨链行为分析

对于持有 VASP 牌照的中心化交易所和托管机构而言,此次事件在 AML/CFT 合规层面提供了三个关键教训:

  • 制裁筛查须覆盖跨链路径:仅对入金地址做 OFAC SDN 名单比对已不足以应对跨链洗钱。CEX 需部署跨链行为分析模型,识别通过 THORChain 等 DEX 跳转后新生成的地址簇。
  • 混币器关联地址的扩展监控:Tornado Cash、Wasabi 等混币工具的交互地址应纳入增强尽职调查(EDD)范围,即使资金在中转链上经过了多层混淆。
  • 大额异常跨链交易的实时预警:攻击发生后 48 小时内的大规模跨链转移(如 75,000 ETH 拆分转出)应在链上监控系统中触发可疑交易报告(STR)机制。

4.2 行业趋势:安全基础设施迁移潮

Kelp DAO 事件后,DeFi 行业出现了明显的安全基础设施迁移潮。Kelp DAO 已将其 rsETH 桥接从 LayerZero 迁移至 Chainlink CCIP,Solv Protocol 和 Tydro 也在攻击发生后三周内完成了类似迁移。这一趋势反映了协议层面对去中心化验证者网络配置安全性的重新定价。

据 CertiK 数据,2026 年 5 月加密行业盗窃总额已降至约 6,830 万美元,较 4 月下降约 90%(CertiK,2026-05),但 Kelp DAO 事件仍被广泛视为对 DeFi 跨链安全与合规框架的一次系统性压力测试。

常见问题(FAQ)

Kelp DAO 攻击中被盗资产还能追回吗?

未冻结的约 2.2 亿美元已通过四条隐私协议通道完成清洗,原始攻击者钱包仅剩约 170 万美元,链上追踪专家评估认为资产直接追回窗口已基本关闭。唯一可行的追回途径是 Arbitrum 安全委员会冻结的约 7,100 万美元 ETH,目前该笔资产正处于 DeFi 用户赔偿与朝鲜恐怖主义受害者司法索赔之间的法律竞合状态,纽约法院听证会结果尚待裁定。

Tornado Cash 已被 OFAC 制裁,为什么还能被用于洗钱?

OFAC 对 Tornado Cash 的制裁主要通过前端封锁与地址黑名单执行,但其智能合约作为部署在以太坊上的不可变代码无法被删除。攻击者通过 THORChain 将资产跨链至比特币、使用 Wasabi 混淆后,再重新桥接至以太坊通过 Tornado Cash 合约直接交互(绕过封锁前端),从而利用了跨链跳转制造的单链制裁追踪盲区。这凸显了当前制裁框架在去中心化跨链环境中的执行真空。

来源:

  1. The Defiant — Kelp DAO Hacker Laundered $220M in Unfrozen Funds as Recovery Window Closes(2026-06-02,一手信源)
  2. Blockonomi — TraderTraitor Group Washes $220M Kelp DAO Heist Through Crypto Mixers(2026-06-02)
  3. CoinCentral — North Korean Hackers Launder $220M from Kelp DAO Exploit in Six Weeks(2026-06-02)
  4. TronWeekly — Kelp DAO Hackers Launder $220M, Recovery Hopes Fade(2026-06-02)
  5. Arkham Intelligence — On-chain tracking data of TraderTraitor wallet activity(2026-06)
  6. 美国财政部 — OFAC Sanctions Tornado Cash(2022-08-08)
Tony

Tony is a founding partner at Aiying Compliance, specializing in crypto asset regulation, securities law, and cross-border licensing across Hong Kong, Singapore, and key APAC jurisdictions. With deep expertise in virtual asset service provider (VASP) frameworks, custody licensing, and RWA tokenization, he advises financial institutions navigating the evolving digital asset regulatory landscape.