Las billeteras vinculadas al exploit de Kelp DAO de aproximadamente $292 millones han comenzado lo que parece ser un intento de lavar los fondos robados después de que la red de Capa 2 de Ethereum, Arbitrum, congelara algunos de los activos.
Aproximadamente $1.5 millones fueron movidos de la mainnet de Ethereum a Bitcoin a través de THORChain, y otros aproximadamente $78,000 fueron enrutados a través del protocolo de privacidad Umbra, según el investigador de blockchain ZachXBT.
En particular, otros analistas onchain sugirieron que el esfuerzo de lavado podría ser mucho mayor.
La firma de seguridad blockchain PeckShield dijo que el atacante había comenzado a mover aproximadamente $176 millones en fondos robados a través de THORChain, Umbra, Chainflip y BitTorrent. Los analistas onchain de Ember CN destacaron que el atacante había comenzado a transferir alrededor de 75,700 ETH, o aproximadamente $175 millones, fuera de Ethereum después de la congelación de Arbitrum, incluyendo transferencias más pequeñas enrutadas a través de Umbra.
Esas estimaciones no han sido confirmadas de forma independiente por Kelp DAO o LayerZero.
La actualización marca una nueva fase en uno de los mayores exploits DeFi del año.
Tras las congelaciones de emergencia y las culpas sobre el diseño del puente, otra pregunta importante ahora es cuánto de la criptomoneda robada aún puede ser rastreada, congelada o recuperada.
Las transferencias a protocolos como THORChain y Umbra llegan poco después de que el Consejo de Seguridad de Arbitrum congelara aproximadamente $71 millones en ETH vinculados al ataque, una de las pocas victorias concretas de contención hasta ahora en las consecuencias generales del exploit de Kelp DAO.
El exploit en sí fue revelado por primera vez durante el fin de semana, cuando el puente rsETH de Kelp DAO fue atacado por aproximadamente $292 millones en lo que rápidamente se convirtió en la principal brecha DeFi de abril.
Ari Redbord, jefe global de políticas en TRM Labs, dijo en una publicación pública que el atacante drenó alrededor de 116,500 rsETH, o aproximadamente el 18% del suministro circulante, después de llamar al flujo lzReceive de LayerZero con lo que parecía ser un mensaje falsificado.
A partir de ahí, el incidente se extendió rápidamente.
LayerZero dijo más tarde que el Grupo Lazarus de Corea del Norte era el probable culpable y argumentó que el exploit fue posible gracias a una configuración de punto único en la ruta de verificación, mientras que Kelp DAO devolvió la culpa a la arquitectura de mensajería de LayerZero.
El derrame financiero ha sido tan importante como la lucha por la atribución.
En los días posteriores al ataque, los protocolos DeFi se tambalearon por el riesgo secundario en torno a rsETH, con preocupaciones que surgieron sobre la calidad de la garantía, la presión del anclaje y posibles escenarios de deuda incobrable en los mercados de préstamos. Redbord afirmó que Aave, SparkLend, Fluid y Upshift se movieron para pausar o reevaluar la exposición relacionada con rsETH mientras los usuarios se apresuraban a reducir el riesgo.
El problema en curso hace que la última actividad de lavado sea más que un movimiento rutinario posterior al hackeo.
Una vez que los fondos salen de la escena original del crimen onchain y comienzan a cruzar cadenas hacia las vías de Bitcoin o herramientas de preservación de la privacidad, la recuperación tiende a volverse materialmente más difícil.
Actualizaciones de ZachXBT y otros sugieren que el proceso ya está en marcha.
Sin embargo, es importante señalar que las cantidades recién identificadas en transferencias a través de Umbra y otros canales siguen siendo pequeñas en relación con el total robado. Pero importan porque muestran que los atacantes ya están probando vías de salida, y no solo esperando con el botín.
Esto, sin duda, vuelve a centrar la atención en la ventana de respuesta temprana. La congelación de Arbitrum mostró que parte del ETH robado aún podía inmovilizarse. Las nuevas transferencias a través de THORChain y Umbra muestran que otras partes ya están deslizándose hacia un territorio más difícil.
Descargo de responsabilidad: The Block es un medio de comunicación independiente que ofrece noticias, investigación y datos. A partir de noviembre de 2023, Foresight Ventures es un inversor mayoritario de The Block. Foresight Ventures invierte en otras empresas en el espacio cripto. El exchange de criptomonedas Bitget es un LP ancla para Foresight Ventures. The Block continúa operando de forma independiente para ofrecer información objetiva, impactante y oportuna sobre la industria cripto. Aquí están nuestras divulgaciones financieras actuales.
© 2026 The Block. Todos los derechos reservados. Este artículo se proporciona únicamente con fines informativos. No se ofrece ni se pretende que se utilice como asesoramiento legal, fiscal, de inversión, financiero o de otro tipo.
