Hackeo a Kelp DAO: atacante drena casi todo el ETH de $293M, dejando solo fondos congelados

Después del hackeo de $293 millones a Kelp DAO, el atacante lavó rápidamente ETH a través de THORChain y mezcladores, dejando solo los fondos congelados de Arbitrum recuperables mientras las opciones de rastreo se desvanecen.

El atacante responsable del hackeo de aproximadamente 293 millones de dólares de Kelp DAO presuntamente ejecutó una operación de lavado rápido, transfiriendo casi todo el ETH desviado de la actividad de trading estadístico días después del saqueo. Esto ha reducido drásticamente las posibles opciones de recuperación a solo los fondos congelados restantes en la gobernanza de seguridad de Arbitrum.
Movimiento Rápido de Fondos Robados
El seguimiento en la blockchain indicó que el atacante comenzó a distribuir los fondos robados el martes, solo unos días después de la explotación (el sábado, cuando unos 116.500 Ether re-apostados (rsETH) fueron sustraídos del protocolo de puente basado en LayerZero de Kelp DAO). Los depósitos robados tenían un valor de entre 290 y 293 millones de dólares en ese momento.
El atacante comenzó reuniendo aproximadamente 75.700 ETH en nuevas carteras, con un valor de mercado de aproximadamente 175 millones de dólares en ese momento. Este paso, común al inicio de las explotaciones, sirve para desconectar la transacción de la explotación del proceso de lavado.
Luego, el dinero fue enviado a través de varios estados de efectivo intermedios utilizando una variedad de herramientas descentralizadas de privacidad y liquidez en un esfuerzo por ocultar el rastro de la transacción y la propiedad.
Uso de THORChain y Herramientas de Privacidad
Se cree que una gran fracción del lavado pasó por THORChain, una red de liquidez entre cadenas que facilita los intercambios entre cadenas dispares sin requerir contrapartes centrales. Según el análisis de la blockchain, se cree que el atacante intercambió una gran parte del Ether por Bitcoin (BTC) en la plataforma.
Esta actividad, que generó miles de millones de dólares (211% de ROI) en tarifas de transacción para el protocolo (IOU, USDT y USDC), demostró cómo la infraestructura sin permisos de liquidez descentralizada fungible puede ser aprovechada para altos volúmenes ilícitos. Una estimación del valor de las tarifas de la actividad (aproximadamente 910.000 dólares) subraya su impacto.
Incluso después de THORChain, algunos de los fondos fueron enviados a través de otro protocolo de mezcla llamado Umbra, que está construido utilizando tecnología confidencial. Esta capa adicional de ofuscación dificultó el rastreo de los fondos para investigadores y empresas de análisis.
Hasta el jueves, las fuentes de inteligencia de blockchain de Arkham revelaron que la mayoría de los fondos en la cartera originalmente etiquetada del atacante habían sido vaciados, lo que sugiere que su "saga de lavado de dinero" estaba cerca de completarse.
Señales de una Estrategia de Salida Estructurada
Plataformas de inteligencia on-chain como Arkham encontraron que los patrones de movimiento eran característicos de una transferencia, más que de una retención a largo plazo.
En lugar de mantener el dinero robado en carteras identificables, lo que podría provocar un esfuerzo de recuperación colaborativo contra el atacante, el dinero fue consolidado, transformado en diferentes activos y pasado por numerosas cuentas de retención intermedias, todo en un período de tiempo muy corto.
En referencia al ritmo rápido y al diseño de las transacciones, los analistas señalaron que las transacciones parecen haberse realizado con el motivo de "cobrar" en lugar de manipular el mercado o negociar un rescate.
Ventana de Recuperación Limitada: Fondos Congelados de Arbitrum
No todos los activos robados han sido convertidos y algunos aún están congelados. El consejo de seguridad de Arbitrum congeló unos 30.766 ETH que fueron recuperados después de la reentrada.
Estos activos se movieron a una cartera intermedia que está bajo control de gobernanza y no se permite su movimiento en este momento (sin la aprobación de la gobernanza a nivel de protocolo).
Este tramo congelado es ahora la parte recuperable más grande de la explotación, ya que el ETH robado restante ya ha pasado por su propia serie de mezcladores e intercambios entre cadenas, ocultando aún más su origen.
Cómo se Originó la Explotación
El ataque fue contra Kelp DAO, un protocolo de restaking que utiliza derivados de staking líquido. Utilizando fallas en su sistema de puente rsETH interoperable con LayerZero, el atacante pudo retirar cantidades significativas de Ether re-apostado.
El activo robado, rsETH, es una abstracción de posiciones de ETH apostadas que se reutilizan en estructuras de finanzas descentralizadas para obtener un rendimiento adicional. Aunque eficiente, esta componibilidad puede llevar a un mayor riesgo sistémico si la infraestructura del puente se ve comprometida.
Implicaciones Más Amplias para la Seguridad de DeFi
Tales explotaciones resaltan aún más el peligro existente para la infraestructura DeFi entre cadenas, donde el uso de protocolos de puente y el restaking se cruzan. El rápido lavado de fondos a través de protocolos DeFi demuestra tanto la fortaleza de DeFi como su talón de Aquiles: las finanzas sin permisos.
Por un lado, los modelos de liquidez de código abierto y de puentes permanentes de DeFi no se ven afectados por ciertos escenarios de ataque, como las explotaciones existentes en los puentes de stablecoins actuales. Por el contrario, esta apertura también es propicia para ser explotada como puntos de acceso críticos a lo largo de canales de flujo ilícito.
Al mismo tiempo, la congelación parcial del sistema de gobernanza de Arbitrum revela cómo los poderes de emergencia están pasando a manos de los consejos de seguridad descentralizados. Pero tales medidas están cada vez más limitadas en su eficacia por la rapidez con la que los atacantes pueden mover fondos a múltiples cadenas y capas de privacidad.
Perspectiva
Dado que gran parte del valor robado se ha dispersado a través de múltiples cadenas mediante intercambios entre cadenas y mezcladores de privacidad, la investigación probablemente se centrará en los fondos congelados bajo la gobernanza de Arbitrum.
Para los investigadores, el caso destaca un problema bien conocido en las finanzas descentralizadas: una vez que una gran cantidad de fondos robados se puentea, intercambia y anonimiza rápidamente, la oportunidad de recuperar las ganancias ilícitas se limita a horas o días en lugar de semanas.





