71M$ Congelados, 175M$ Ya Perdidos: Cómo el Hacker de Kelp DAO Está Lavando 292 Millones de Dólares en Ether Robado

71M$ Congelados, 175M$ Ya Perdidos: Cómo el Hacker de Kelp DAO Está Lavando 292 Millones de Dólares en Ether Robado

Kelp DAO perdió $292 millones en una explotación de un puente LayerZero. Arbitrum congeló $71 millones, pero $175 millones ya están en movimiento. Se sospecha del Grupo Lazarus. Aave enfrenta hasta $230 millones en deuda morosa.

Arbitrum actuó con rapidez. El lunes por la noche, el Consejo de Seguridad de Arbitrum congeló más de 30.766 ETH (aproximadamente 71 millones de dólares) que se encontraban en una billetera en Arbitrum One directamente vinculada a la explotación de KelpDAO. El consejo afirmó haber actuado con la colaboración de las fuerzas del orden en relación con lo que creían ser la identidad del explotador y que esta acción no afectó ni repercutió en ningún otro usuario o aplicación de Arbitrum. Los entornos DeFi rara vez logran este nivel de intervención en cadena en tiempo real, por lo que esta fue una acción verdaderamente decisiva para Arbitrum.


El hacker actuó aún más rápido. Antes de que se secara la tinta del anuncio de Arbitrum, la firma de inteligencia de blockchain Arkham rastreó al sospechoso moviendo 75.701 ETH (aproximadamente 175 millones de dólares) de direcciones de Ethereum a billeteras recién creadas. Se realizaron dos transferencias, una por 117 millones de dólares y otra por 58 millones de dólares, durante el horario de negociación europeo del martes. El investigador en cadena ZachXBT me confirmó que los fondos obtenidos ilegalmente han comenzado a moverse entre cadenas. La fase de lavado de dinero ha comenzado.


Si bien Arbitrum congeló aproximadamente el 25% del monto total robado; el 75% restante aún se está moviendo activamente.

Cómo se desarrolló el ataque

Por si alguien se lo perdió, el sábado 18 de abril, un atacante utilizó el exploit del puente entre cadenas basado en LayerZero de Kelp DAO para aprovechar un defecto que les permitió retirar 116.500 rsETH (valorados en unos 291 millones de dólares en ese momento), aproximadamente el 18% de la cantidad total de rsETH en circulación en ese momento. Al proporcionar instrucciones falsificadas al puente, el atacante hizo que este liberara los rsETH a una dirección que controlaban. Luego, el atacante depositó los tokens robados en Aave, Compound y Euler para usarlos como garantía y pedir prestados cientos de millones de wrapped ether adicionales.


El puente de Kelp tenía reservas que respaldaban los rsETH en más de 20 redes, por lo que este incidente causó efectos dominó inmediatos. Hasta la fecha, al menos nueve protocolos se han visto obligados a congelar sus mercados o a tomar otras medidas de emergencia. Solo Aave vio cómo 6.600 millones de dólares en TVL abandonaban su plataforma en cuestión de horas y el valor de su token cayó un 16%. Ahora que Aave ha publicado su informe de incidentes, estima que su exposición a deuda incobrable oscila entre 123 y 230 millones de dólares, dependiendo de cómo Kelp DAO asigne su déficit entre sus posiciones de Capa 2.

Como tal, este hackeo DeFi ha superado ahora el hackeo de Drift de hace dos semanas, convirtiéndolo en el mayor hackeo DeFi de 2026 hasta la fecha.

El juego de la culpa entre Kelp y LayerZero

Kelp DAO y LayerZero están inmersos en una disputa pública sobre quién es el responsable del error de configuración que condujo al ataque, mientras los investigadores continúan indagando cómo se perdió el dinero. Una de las causas fue un único propietario que actúa como verificador único de si cada mensaje enviado a través de diferentes cadenas es válido. Si el único propietario se ve comprometido, todo el puente se ve comprometido.


LayerZero insiste en que proporcionaron a Kelp DAO la infraestructura para construir. Kelp DAO insiste en que su uso de un único propietario se basó en la configuración estándar de LayerZero para el SV, lo que significa que no fue una elección hecha por Kelp DAO. El resultado de quién es responsable es importante para cualquier remedio legal futuro, pero no afectará las pérdidas financieras sufridas por quienes perdieron dinero.


Lo que ambas partes están admitiendo ahora, en efecto, es que existía una configuración que era catastróficamente incapaz de resistir una intrusión y que estaba en producción en un puente con cientos de millones de dólares en valor entre cadenas (esto es lo que une a ambas partes). Alguien debería haber detectado este problema, pero nadie lo hizo.

La sombra de Corea del Norte

Investigadores de seguridad y múltiples publicaciones han identificado que el patrón de explotación de Kelp, su escala y la velocidad de los fondos lavados representan de cerca el modus operandi vinculado al Grupo Lazarus de Corea del Norte. En conjunto, las explotaciones de Drift y Kelp generaron más de 500 millones de dólares en activos drenados en poco más de 2 semanas. Los analistas creen que este drenaje financiero es un reflejo de un país sancionado que necesita fondos, más que de hackers oportunistas que operaron a ese ritmo.


El Grupo Lazarus ha sido asociado con algunos de los mayores robos de criptomonedas de la historia, incluido el hackeo de la Red Ronin de 625 millones de dólares que ocurrió en 2022. Se sabe que el grupo utiliza configuraciones de verificadores comprometidas para explotar la infraestructura entre cadenas, así como para mover sus fondos robados de manera rápida y eficiente a través de diversas herramientas de privacidad y saltos de cadena para dificultar la capacidad de los investigadores de rastrear sus activos robados. La explotación de Kelp se alinea con estos modus operandi. Si bien la atribución al Grupo Lazarus no ha sido confirmada, es evidente que las fuerzas del orden han transmitido suficiente información al Consejo de Seguridad de Arbitrum sobre la identidad del explotador de Kelp para otorgar la congelación antes mencionada, lo que implica que los investigadores han avanzado más de lo que reflejan las declaraciones públicas.

Qué viene después

Nadie podrá acceder a los 70 millones de dólares en fondos congelados de Arbitrum sin la aprobación de la Gobernanza de Aave. Esto representa una cantidad significativa de dinero que ha sido recuperada y es especialmente impresionante la rapidez con la que han ocurrido las cosas en general. Sin embargo, 175 millones de dólares se movieron a nuevas billeteras, lo que hace que la recuperación sea mucho más difícil que si solo estuviera ocurriendo en una blockchain. El FBI y el IRS-CI probablemente estén trabajando juntos en la investigación, dado el gran valor total de los fondos robados, pero convertir esta investigación en activos reales llevará meses o años, y no solo días.


En cuanto a la recuperación de deuda incobrable/préstamos para Aave, su pregunta inicial será cómo manejar esta pérdida. Es posible que parte de ella pueda ser cubierta utilizando la Reserva de Seguridad Umbrella, pero si no, cualquier pérdida adicional tendrá que provenir de los titulares de stkAAVE, a través del mecanismo de respaldo del protocolo. Esto ejercería una presión significativa sobre la Gobernanza de Aave para que, por primera vez, tome medidas para proteger a los titulares de stkAAVE de pérdidas de una manera sin precedentes.


En este momento, solo han pasado unas 72 horas desde que ocurrió la explotación de Kelp. La investigación está en curso; el lavado de fondos robados está ocurriendo; y el monto total de la pérdida por la explotación aún no se ha determinado. Está claro que el perpetrador de la explotación de Kelp tenía un esquema elaborado preparado antes de ejecutar el hackeo para aprovechar estas circunstancias.


Todas las opiniones expresadas son opiniones personales del autor y no constituyen asesoramiento de inversión.

Últimos artículos

Índice de miedo y codicia

Trade
31
Miedo
¿Cuál cree usted que es el sentimiento actual del mercado?
+78.57%+21.42%
SpotFuturos
Sin datos