KelpDAO saldırısında çalınan varlıkların izini süren Blockchain odaklı inceleme, Kuzey Kore bağlantılı TraderTraitor grubunun yalnızca birkaç saat içinde yeni bir aklama rotası açtığını ortaya koydu. Arbitrum Konseyi’nin 30,7 ETH’yi dondurmasının ardından süreç durmadı. Aksine daha da hızlandı. Saldırgan, elde kalan fonları üç ayrı cüzdana böldü ve transfer zincirini kısa sürede Bitcoin ağına taşıdı. 22 Nisan 2026 tarihinde X üzerinden Specter isimli kullanıcının paylaşımı kripto para piyasasında devlet destekli saldırıların halen en büyük güvenlik başlıklarından biri olduğunu bir kez daha gösterdi.
Fonlar Üç Cüzdana Dağıldı
İncelemeye göre aklama trafiği 07.39 UTC’de başladı. Saat, Arbitrum Konseyi’nin müdahalesinden yalnızca üç saat sonrasını gösterdi. Saldırgan, kalan bakiyeyi üç farklı adrese paylaştırdı. İlk cüzdana yaklaşık 25 bin ETH, ikinci cüzdana 25 bin 700 ETH, üçüncü cüzdana ise yine yaklaşık 25 bin ETH aktarıldı. İlk iki adres varlıkları elde tutarken üçüncü adres parayı alır almaz harekete geçti. Son durumda o cüzdanda yalnızca 3,8 bin ETH civarında bakiye kaldı.
Tablo oldukça netti. Paranın önemli kısmı elde tutuldu. Bir bölümü ise hızla iz kaybettirme sürecine sokuldu. Blockchain’deki hareketler planın önceden hazırlandığını düşündürdü. Rastgele atılmış adımlar yoktu. Akış düzenliydi, dağılım hesaplıydı. Hele ki büyük meblağların birkaç saat içinde yeni ağlara kaydırılması, saldırgan tarafın operasyonel refleksinin ne kadar güçlü kaldığını açıkça gösterdi.
Bitcoin Ağına Geçiş Hızlandı
Araştırmada yer alan en çarpıcı ayrıntılardan biri, fonların neredeyse tamamının Bitcoin ağına köprülenmesi oldu. Geçişlerin yaklaşık yüzde 99’u THORChain üzerinden gerçekleşti. Aynı gün THORChain’deki takas hacmi 211 milyon dolara ulaştı. Rakam, protokolün son 30 gündeki günlük ortalamasının 10 katından fazlaydı. Üretilen ücret geliri de yaklaşık 189 bin dolar seviyesine çıktı.
Aklama süreci boyunca fonların, daha önce Kuzey Kore ile ilişkilendirilen başka saldırılardan gelen gelirlerle karıştırıldığı da görüldü. BTC Turk ve Bybit saldırılarından izler taşıyan adreslerle temas kuruldu. Şu anda Bitcoin ağı üzerinde farklı cüzdanlara dağılmış halde toplam 442 BTC, yani yaklaşık 33 milyon dolar bulunduğu hesaplandı. Onay bekleyen ya da henüz çekim aşamasındaki varlıklar ise hesaba katılmadı. Şimdiye kadar 400’den fazla adres kullanıldı; tespit edilen sayı 356’ya ulaştı.