4 月 18 日，去中心化金融协议 Kelp DAO 遭遇严重安全事件，朝鲜黑客组织 Lazarus 集团成功窃取了价值 2.92 亿美元的资产。这一事件不仅暴露了单一协议的漏洞，更揭示了一条高度组织化、利用 DeFi 生态组合性缺陷的洗钱路径。在完全透明的链上系统中，攻击者通过精密的战术部署，将被盗资金转化为可互换资产，并最终在链下兑换为现实世界的现金。据午方 AI 消息，此次攻击并非简单的技术漏洞利用，而是对加密货币运行逻辑的一次系统性压力测试，展示了黑客如何将受害者的资金无缝转化为自身资产，且该过程在现有架构下极难被阻断。

攻击行动早在正式盗窃前约 10 小时便已启动基础设施准备阶段。Lazarus 集团预先通过 Tornado Cash 混合器向 8 个全新钱包注入了 0.1 ETH，用于支付后续操作所需的 Gas 费用。这些资金因经过混合器处理，切断了与任何交易所 KYC 记录或已知实体的关联，形成了完美的“白纸”状态。在攻击前夕，攻击者还进行了 3 次跨链转账，将资金从 Ethereum 主网转移至 Avalanche 和 Arbitrum，旨在预存 Gas 并测试桥接机制的稳定性。随后，攻击者利用 LayerZero EndpointV2合约中的 lzReceive 函数调用，结合验证器的欺诈行为，成功触发了 Kelp DAO 的桥接合约 Kelp DAO: RSETH_OFTAdapter，导致 116,500 rsETH（占流通总量的 1.18%）被释放至攻击者控制的账户 0x8B1。

在 UTC 时间 18:21，即资金被盗 46 分钟后，Kelp DAO 启动了紧急多签名机制暂停协议。尽管攻击者随后在 18:26 和 18:28 尝试了两次类似的转账，试图窃取更多 rsETH，但均被及时阻止。若未采取这些措施，被盗总额可能接近 5 亿美元。由于 rsETH 是凭证型代币，一旦协议暂停或被列入黑名单，其价值将归零，攻击者必须在极短时间内将其转换为无法冻结的资产。午方 AI 梳理数据显示，若直接在公开市场抛售，2.92 亿美元的低流动性代币将导致价格瞬间暴跌超过 30%，因此攻击者选择了更为隐蔽的去中心化借贷协议进行资产置换。

接收资金的钱包 0x8B1 迅速将 116,500 rsETH 分散至 7 个分支钱包，并随即进入 Aave 和 Compound V3 系统。攻击者利用这些 rsETH 作为抵押品，借入了总计约 1.9 亿美元的优质以太坊资产，包括 82,650 WETH 和 821 wstETH。

值得注意的是，这 7 个分支钱包的健康系数被精确控制在 1.01 至 1.03 之间，处于协议允许的最高风险边界，一旦超过即面临清算。这一操作成功将几乎无法流动的“有毒资产”rsETH 兑换成了高流动性的 ETH，而由于 Kelp 未能提供足够抵押品，这些 rsETH 最终被标记为零价值，导致借贷协议的出借方承担了巨额损失。当市场意识到 Aave 手中持有超过 20 亿美元的不良债务时，引发了恐慌性提款，导致该协议在 48 小时内锁仓价值流失 80 亿美元，遭遇了其历史上首次真正的“挤兑事件”。

完成借贷操作后，资金被整合至第三个层级的钱包 0x5d3，形成了清晰的三层洗钱结构：接收、操作与整合。随后，资金被分流至两条链：75,700 ETH 保留在 Ethereum 主网，而 30,766 ETH（约合 7100 万美元）被转移至 Avalanche 链。Avalanche 安全委员会迅速投票冻结了这部分资产，将其转入由治理机构控制的钱包。

然而，攻击者似乎并未预料到这一措施，在资金被冻结后立即加速了主网剩余 ETH 的转移。攻击发生四天后，0x5d3 钱包开始进行大规模变现操作。午方 AI 监测到，Arkham 在几小时内发现了 3 笔异常转账，这些操作精准地选择了欧洲市场交易日周二进行，利用时差规避了美国调查人员和亚洲交易所的监管高峰。

资金随后呈指数级扩散，原本 10 个参与钱包迅速分裂为 100 多个临时生成的账户。Lazarus 团伙利用自 2018 年以来不断优化的 HD 钱包脚本和并行程序，在几秒钟内生成数千个新地址并同步签署广播交易，彻底抹去了线性追踪路径。真正的转折点出现在 THORChain 上，该协议在 4 月 22 日的 24 小时交易量激增至 46 亿美元，达到平时水平的 30 倍。攻击者利用 THORChain 将 ETH 兑换为 BTC，利用 Bitcoin 的 UTXO 模型将资金“碎片化”，使得追踪成本呈几何级数增长。

此外，资金还通过 Umbra、Chainflip、BitTorrent Chain 等隐私通道进行多层清洗，每增加一层协议，追踪难度便增加约 10 倍。

最终，这些经过层层清洗的资金汇聚至 Tron 链上的 USDT 系统。数据显示，USDT-Tron 是非法加密货币交易的主要战场，其年交易额超过其他所有区块链平台的总和。在 Kelp 案例中，资金从 BTC 转移至 Tron 并兑换为 USDT，利用极低的手续费进一步分割成 10 层碎片。随后，资金通过中国大陆和东南亚地区的场外经纪人网络，利用 UnionPay 等国内支付系统进行内部对冲，最终兑换为法定货币。午方 AI 分析认为，这些资金最终流入了朝鲜控制的银行账户，通常以注册在 Hong Kong、Macau 或第三方的壳公司名义持有，并通过哈瓦拉汇款、实物现金运输等方式回流平壤。联合国报告指出，2024 年加密货币盗窃所得已占朝鲜总外汇收入的约 50%，成为其弹道导弹和核武器研发计划的核心资金来源，其重要性甚至超过了煤炭出口和武器销售。