blitzer-eth/Lazarus_Kelp_DAO_Kill-Chain_Analysis
GitHub: blitzer-eth/Lazarus_Kelp_DAO_Kill-Chain_Analysis
一份针对 Kelp DAO rsETH 2.92 亿美元跨链桥被盗事件的完整链上取证分析,详细追踪了从初始攻击到多链洗钱的资金流向。
Stars: 0 | Forks: 0
# 🔴 Lazarus Kelp DAO 攻击链分析
[在 Dune 上查看仪表板](https://dune.com/blitzer/lazarus-kelp-dao-kill-chain-analysis)
本仪表板重建了归因于 Lazarus Group (DPRK) 的 **2026 年 4 月 18 日 Kelp DAO 跨链桥漏洞利用**的完整攻击链。对 LRT 跨链桥上预言机价格的操纵使得攻击者窃取了约 116,500 rsETH(约 2.92 亿美元),这些资金随后通过 Aave v3、Arbitrum 跨链桥、ThorChain 和 Tron 网络进行了洗钱。本套件专为链上安全研究人员、协议分析师和事件响应人员设计,为他们提供了一个涵盖从初始漏洞利用交易到最终 USDT 结算的完整攻击链的单视图面板。
## 📸 快照
## 🔍 查询解析
### 1. 起源 —— rsETH 漏洞利用交易日志
重建了 2026 年 4 月 18 日源自 Kelp DAO LRT 跨链桥的 rsETH 流动的精确序列。
- **核心抽资识别:** 定位了唯一的主要抽资交易(`Hop #13`,区块高度 24,908,285),在该交易中,116,500 rsETH(2.919 亿美元)从 Kelp 跨链桥合约转移到了攻击者的中转钱包。
- **82 跳追踪:** 追踪了整个漏洞利用时间窗口内超过 100 rsETH 阈值的每一次转账事件,将每一跳分类到不同的严重级别(主要抽资 / 大额转账 / 中间跳转 / 小额转账)。
- **累计抽资进度条:** 运行总列显示了在不到 3 小时内,全部被盗资金是如何迅速分散到各个钱包中的。
### 2. Aave 传染 —— 被盗 rsETH 抵押品 vs. ETH/WETH 借款激增
双轴时间序列图,展示了漏洞利用前后时间窗口(2026 年 4 月 16 日至 21 日)内 Aave v3 Ethereum 上相关的供应和借款活动。
- **抵押品滥用检测:** 追踪每小时存入 Aave v3 的 rsETH,以识别被盗代币何时被武器化作为抵押品。高峰时段(UTC 时间 4 月 18 日 17:00)看到在单个小时内存入了 53,400 rsETH。
- **借款激增相关性:** 在右侧 Y 轴上叠加了 ETH/WETH 借款量,揭示了攻击者提取了约 75,800 ETH/WETH 的 65% LTV 杠杆操作。
- **累计借款追踪:** 窗口函数随时间累积 ETH 借款总额,暴露了 Aave 传染阶段的完整规模。
### 2b. Aave TVL 趋势 —— 攻击前后每日供应量变化
一张展示 Aave v3 Ethereum 每日净供应量变化的折线图,用于情境化协议层面的影响。
- **前/后标签:** 每个数据点都被标记为 `✅ Pre-Hack`、`🔴 HACK DAY` 或 `⬇️ Post-Hack`,以便一目了然地识别时间段。
- **净流向分解:** 分离存款和取款流向,以显示资金流动的真实方向而不是总量。
### 3. Arbitrum 介入 —— 30,766 ETH 跨链转移并被冻结
可视化了攻击者在 Arbitrum 上路由的 ETH 流动,以及 Arbitrum 安全委员会随后执行的紧急冻结。
- **大额过滤:** 将 `arbitrum.transactions` 过滤为大于 1,000 ETH 的原生 ETH 转账,仅从背景噪音中隔离出攻击者的批量跨链桥交易。
- **安全委员会范围:** 监控与 9/12 Arbitrum 安全委员会多签钱包(`0x4235...`)和紧急升级执行器(`0x4a49...`)相关的地址,以发现冻结相关的活动。
- **累计路由追踪:** 按流向类型显示运行总和,展示了在传输中被捕获的 ETH 总量,确认了约 7700 万美元被冻结并有效追回。
### 4. 洗钱路径 —— ThorChain BTC 和 Tron USDT 流向
识别了用于将 Arbitrum 事件后剩余约 1.13 亿美元被盗 ETH 下车的两条并行洗钱路径。
- **ThorChain ETH→BTC 兑换:** 查询漏洞利用后窗口期 `thorchain.defi_swaps` 中的大额 ETH 到 BTC 转换(> 500,000 美元),这与已知的 Lazarus Group 跨链洗钱 TTPs 一致。
- **Tron 大额代理:** 使用过滤为大于 1M TRX 转账的 `tron.transactions` 作为洗钱速度的代理,捕捉到了仅在 4 月 19 日就激增的 2,532 笔大额交易。
- **双轴堆叠视图:** 将两条洗钱路径组合成一个堆叠柱状图,以按渠道显示每日下车的总压力。
### 5. 攻击链流摘要 —— 完整攻击图(桑基图)
一个结构化的边缘表和饼图,映射了完整攻击图中的所有 9 个节点,从 Kelp DAO 跨链桥到 Lazarus 冷钱包和 Tron USDT。
- **桑基图边缘表:** 每行代表攻击图中的一个单向流动,包含 USD 价值、描述以及一个显示每一步占 2.92 亿美元总漏洞利用量百分比的进度条。
- **资金目的地饼图:** 将资金的最终归属状态细分为四个部分 —— Arbitrum 冻结(已追回)、BTC 冷存储(存在风险)、Tron USDT(洗钱中)和 Aave 残留(部分追回)。
- **追回核算:** 将安全委员会冻结的 7,710 万美元作为具体的追回金额呈现,使事件响应团队能够追踪净风险敞口。
## 📊 关键链上发现
| 指标 | 值 |
|---|---|
| 被盗 rsETH 总量 | ~116,500 rsETH (~$292M) |
| 主要抽资区块 | 24,908,285 (2026-04-18 17:37 UTC) |
| 攻击者中转钱包 | `0x8b1b6c9a6db1304000412dd21ae6a70a82d60d3b` |
| Kelp 跨链桥源地址 | `0x85d456b2dff1fd8245387c0bfb64dfb700e98ef3` |
| Aave 借款峰值 | ~51,576 ETH/WETH (UTC 时间 4 月 18 日 17:00) |
| 跨链至 Arbitrum 的 ETH | ~30,766 ETH (~$77.1M) |
| 冻结金额(已追回) | $77.1M (由 Arbitrum 安全委员会冻结) |
| ThorChain BTC 兑换 | ~$112.9M ETH→BTC |
| Tron USDT 结算(预估) | ~$62.0M |
## 🛠️ 数据源
| 组件 | Dune 表 | 链 |
|---|---|---|
| rsETH 转账事件 | `kelpdao_ethereum.rseth_evt_transfer` | Ethereum |
| Aave 供应流 | `lending.supply` | Ethereum |
| Aave 借款流 | `lending.borrow` | Ethereum |
| Arbitrum ETH 流动 | `arbitrum.transactions` | Arbitrum |
| ThorChain 兑换 | `thorchain.defi_swaps` | ThorChain |
| Tron 大额流向 | `tron.transactions` | Tron |
## 🧱 SQL 工程说明
- 所有查询均使用 **公共表表达式 (CTEs)** 以保证可读性和模块化。
- 在所有分区表上对 `block_date` / `block_month` 应用了分区裁剪,以最大限度地减少资源消耗。
- `lending.supply` 和 `lending.borrow` Spellbook spells 被过滤为 `project = 'aave'` 和 `blockchain = 'ethereum'`,以避免跨链噪音干扰。
- ThorChain 兑换检测使用 `from_asset LIKE '%ETH%' AND to_asset LIKE '%BTC%' AND from_amount_usd > 500000`,以仅显示与国家级洗钱行为一致的大规模机构级兑换。
- 鉴于在索引时缺乏包含已确认 Tron 地址的解码 USDT Transfer 表,Tron 洗钱代理使用原生 TRX 值(`> 1M TRX`)作为 USDT 流速的替代指标。
## ⚠️ 免责声明
本仪表板仅出于**研究和教育目的**而制作。所有钱包地址的归属均基于链上行为模式,并非法律裁定。Lazarus Group 的归属遵循了来自 Chainalysis、联合国专家小组和 OFAC 指定的公开报告。本仪表板中的任何内容均不构成财务或法律建议。
*🔍 由 [Dune Analytics](https://dune.com) 提供支持 · 使用 DuneSQL 构建 · 数据跨越 Ethereum、Arbitrum、ThorChain 和 Tron*
## 🔍 查询解析
### 1. 起源 —— rsETH 漏洞利用交易日志
重建了 2026 年 4 月 18 日源自 Kelp DAO LRT 跨链桥的 rsETH 流动的精确序列。
- **核心抽资识别:** 定位了唯一的主要抽资交易(`Hop #13`,区块高度 24,908,285),在该交易中,116,500 rsETH(2.919 亿美元)从 Kelp 跨链桥合约转移到了攻击者的中转钱包。
- **82 跳追踪:** 追踪了整个漏洞利用时间窗口内超过 100 rsETH 阈值的每一次转账事件,将每一跳分类到不同的严重级别(主要抽资 / 大额转账 / 中间跳转 / 小额转账)。
- **累计抽资进度条:** 运行总列显示了在不到 3 小时内,全部被盗资金是如何迅速分散到各个钱包中的。
### 2. Aave 传染 —— 被盗 rsETH 抵押品 vs. ETH/WETH 借款激增
双轴时间序列图,展示了漏洞利用前后时间窗口(2026 年 4 月 16 日至 21 日)内 Aave v3 Ethereum 上相关的供应和借款活动。
- **抵押品滥用检测:** 追踪每小时存入 Aave v3 的 rsETH,以识别被盗代币何时被武器化作为抵押品。高峰时段(UTC 时间 4 月 18 日 17:00)看到在单个小时内存入了 53,400 rsETH。
- **借款激增相关性:** 在右侧 Y 轴上叠加了 ETH/WETH 借款量,揭示了攻击者提取了约 75,800 ETH/WETH 的 65% LTV 杠杆操作。
- **累计借款追踪:** 窗口函数随时间累积 ETH 借款总额,暴露了 Aave 传染阶段的完整规模。
### 2b. Aave TVL 趋势 —— 攻击前后每日供应量变化
一张展示 Aave v3 Ethereum 每日净供应量变化的折线图,用于情境化协议层面的影响。
- **前/后标签:** 每个数据点都被标记为 `✅ Pre-Hack`、`🔴 HACK DAY` 或 `⬇️ Post-Hack`,以便一目了然地识别时间段。
- **净流向分解:** 分离存款和取款流向,以显示资金流动的真实方向而不是总量。
### 3. Arbitrum 介入 —— 30,766 ETH 跨链转移并被冻结
可视化了攻击者在 Arbitrum 上路由的 ETH 流动,以及 Arbitrum 安全委员会随后执行的紧急冻结。
- **大额过滤:** 将 `arbitrum.transactions` 过滤为大于 1,000 ETH 的原生 ETH 转账,仅从背景噪音中隔离出攻击者的批量跨链桥交易。
- **安全委员会范围:** 监控与 9/12 Arbitrum 安全委员会多签钱包(`0x4235...`)和紧急升级执行器(`0x4a49...`)相关的地址,以发现冻结相关的活动。
- **累计路由追踪:** 按流向类型显示运行总和,展示了在传输中被捕获的 ETH 总量,确认了约 7700 万美元被冻结并有效追回。
### 4. 洗钱路径 —— ThorChain BTC 和 Tron USDT 流向
识别了用于将 Arbitrum 事件后剩余约 1.13 亿美元被盗 ETH 下车的两条并行洗钱路径。
- **ThorChain ETH→BTC 兑换:** 查询漏洞利用后窗口期 `thorchain.defi_swaps` 中的大额 ETH 到 BTC 转换(> 500,000 美元),这与已知的 Lazarus Group 跨链洗钱 TTPs 一致。
- **Tron 大额代理:** 使用过滤为大于 1M TRX 转账的 `tron.transactions` 作为洗钱速度的代理,捕捉到了仅在 4 月 19 日就激增的 2,532 笔大额交易。
- **双轴堆叠视图:** 将两条洗钱路径组合成一个堆叠柱状图,以按渠道显示每日下车的总压力。
### 5. 攻击链流摘要 —— 完整攻击图(桑基图)
一个结构化的边缘表和饼图,映射了完整攻击图中的所有 9 个节点,从 Kelp DAO 跨链桥到 Lazarus 冷钱包和 Tron USDT。
- **桑基图边缘表:** 每行代表攻击图中的一个单向流动,包含 USD 价值、描述以及一个显示每一步占 2.92 亿美元总漏洞利用量百分比的进度条。
- **资金目的地饼图:** 将资金的最终归属状态细分为四个部分 —— Arbitrum 冻结(已追回)、BTC 冷存储(存在风险)、Tron USDT(洗钱中)和 Aave 残留(部分追回)。
- **追回核算:** 将安全委员会冻结的 7,710 万美元作为具体的追回金额呈现,使事件响应团队能够追踪净风险敞口。
## 📊 关键链上发现
| 指标 | 值 |
|---|---|
| 被盗 rsETH 总量 | ~116,500 rsETH (~$292M) |
| 主要抽资区块 | 24,908,285 (2026-04-18 17:37 UTC) |
| 攻击者中转钱包 | `0x8b1b6c9a6db1304000412dd21ae6a70a82d60d3b` |
| Kelp 跨链桥源地址 | `0x85d456b2dff1fd8245387c0bfb64dfb700e98ef3` |
| Aave 借款峰值 | ~51,576 ETH/WETH (UTC 时间 4 月 18 日 17:00) |
| 跨链至 Arbitrum 的 ETH | ~30,766 ETH (~$77.1M) |
| 冻结金额(已追回) | $77.1M (由 Arbitrum 安全委员会冻结) |
| ThorChain BTC 兑换 | ~$112.9M ETH→BTC |
| Tron USDT 结算(预估) | ~$62.0M |
## 🛠️ 数据源
| 组件 | Dune 表 | 链 |
|---|---|---|
| rsETH 转账事件 | `kelpdao_ethereum.rseth_evt_transfer` | Ethereum |
| Aave 供应流 | `lending.supply` | Ethereum |
| Aave 借款流 | `lending.borrow` | Ethereum |
| Arbitrum ETH 流动 | `arbitrum.transactions` | Arbitrum |
| ThorChain 兑换 | `thorchain.defi_swaps` | ThorChain |
| Tron 大额流向 | `tron.transactions` | Tron |
## 🧱 SQL 工程说明
- 所有查询均使用 **公共表表达式 (CTEs)** 以保证可读性和模块化。
- 在所有分区表上对 `block_date` / `block_month` 应用了分区裁剪,以最大限度地减少资源消耗。
- `lending.supply` 和 `lending.borrow` Spellbook spells 被过滤为 `project = 'aave'` 和 `blockchain = 'ethereum'`,以避免跨链噪音干扰。
- ThorChain 兑换检测使用 `from_asset LIKE '%ETH%' AND to_asset LIKE '%BTC%' AND from_amount_usd > 500000`,以仅显示与国家级洗钱行为一致的大规模机构级兑换。
- 鉴于在索引时缺乏包含已确认 Tron 地址的解码 USDT Transfer 表,Tron 洗钱代理使用原生 TRX 值(`> 1M TRX`)作为 USDT 流速的替代指标。
## ⚠️ 免责声明
本仪表板仅出于**研究和教育目的**而制作。所有钱包地址的归属均基于链上行为模式,并非法律裁定。Lazarus Group 的归属遵循了来自 Chainalysis、联合国专家小组和 OFAC 指定的公开报告。本仪表板中的任何内容均不构成财务或法律建议。
*🔍 由 [Dune Analytics](https://dune.com) 提供支持 · 使用 DuneSQL 构建 · 数据跨越 Ethereum、Arbitrum、ThorChain 和 Tron*标签:Aave, Arbitrum, CISA项目, DeFi 安全, DeFi 黑客攻击, Dune Analytics, Kelp DAO, Kill-Chain 分析, Lazarus Group, LRT, rsETH, ThorChain, Tron, Web3 安全, 以太坊, 加密货币犯罪, 加密货币追踪, 区块链取证, 区块链安全, 多线程, 威胁情报, 安全仪表盘, 开发者工具, 智能合约漏洞, 朝鲜黑客, 流动性重质押代币, 漏洞分析, 网络洗钱, 资金追踪, 跨链桥攻击, 路径探测, 金融安全, 链上分析, 预言机操纵