El atacante detrás del exploit de casi $300 millones de rsETH de KelpDAO está blanqueando fondos desde Ethereum a Arbitrum y a USDT basado en Tron.
El atacante detrás del exploit de casi $300 millones de KelpDAO ha comenzado a blanquear el botín, dirigiendo fondos a través de Arbitrum y a stablecoins basadas en Tron, en un movimiento que aumenta los temores sobre la recuperabilidad y la trazabilidad en DeFi.
Los datos on-chain muestran al atacante transfiriendo activos derivados de rsETH a Arbitrum, intercambiándolos por $USDT y luego moviendo valor al ecosistema de Tron, un patrón que, según los investigadores, está diseñado para fragmentar la pista de auditoría y explotar la liquidez en múltiples redes.
Analistas advirtieron en una nota que la brecha de aproximadamente $293 millones de KelpDAO “podría obligar a los principales bancos de Wall Street a reevaluar el ritmo” de sus proyectos de blockchain y tokenización, argumentando que el incidente expone “riesgos de infraestructura críticos asociados con puentes entre cadenas y configuraciones de validador único”.
Andrew Moss, analista de activos digitales en Jefferies, dijo que es probable que el exploit “impulse a los principales bancos de Wall Street a reconsiderar sus iniciativas de blockchain”, incluso si los casos de uso a largo plazo como las stablecoins para pagos transfronterizos permanecen intactos.
El exploit del 18 de abril drenó 116.500 rsETH —con un valor de entre $290 y $293 millones— del puente de KelpDAO, en lo que las mesas de investigación han calificado como la mayor pérdida de DeFi de 2026 hasta el momento.
LayerZero, cuya infraestructura sustentaba el puente rsETH, afirmó que el incidente se aisló a la configuración de verificador 1-de-1 de Kelp y siguió a un compromiso de los nodos RPC, mientras que KelpDAO ha respondido, argumentando que implementó los valores predeterminados propios de LayerZero y que “una firma falsificada fue suficiente para hacer que cualquier mensaje entre cadenas pareciera real”.
A medida que los inversores retiraron un estimado de $15 mil millones de DeFi tras el hackeo, el incidente de KelpDAO ha amplificado las preocupaciones de que el diseño de los puentes y las suposiciones de los validadores se están convirtiendo en puntos de riesgo sistémico tanto para los protocolos de primera línea como para los experimentos institucionales.
Yahoo Finance informó que atacantes vinculados a Corea del Norte han robado casi $600 millones de aplicaciones on-chain solo en el primer trimestre, con la pérdida de $294 millones de KelpDAO emergiendo como el último golpe para los ya cautelosos asignadores institucionales.
Sumando a la ansiedad, la firma de seguridad blockchain SlowMist emitió una alerta sobre una cepa activa de malware para macOS apodada “MacSync Stealer” (v1.1.2), que describió como malware de robo de información “de alto riesgo” dirigido a usuarios de criptomonedas.
Según SlowMist, MacSync Stealer es capaz de exfiltrar monederos de criptomonedas, credenciales guardadas en el navegador, llaveros del sistema y claves de infraestructura como SSH, AWS y Kubernetes, a menudo utilizando ventanas emergentes falsas de AppleScript para engañar a los usuarios para que introduzcan sus contraseñas.
SlowMist instó a los usuarios a “evitar ejecutar scripts de macOS de fuentes no verificadas y a ser especialmente cautelosos con las solicitudes inesperadas de contraseñas del sistema”, señalando que los indicadores de compromiso ya han sido compartidos con los socios.
Con tres de los principales titulares del día relacionados con malware de macOS o exploits de puentes DeFi, y Jefferies advirtiendo que hackeos destacados como el de KelpDAO podrían “ralentizar temporalmente la adopción de la tokenización TradFi a medida que las empresas reevalúan los riesgos de seguridad”, la brecha entre la superficie de ataque técnica de las criptomonedas y la tolerancia al riesgo de Wall Street está repentinamente en primer plano.
