Key Takeaways:
Hackers vinculados al Lazarus Group de Corea del Norte están blanqueando activamente 290 millones de dólares en criptomonedas robadas del protocolo DeFi KelpDAO, moviendo fondos a través de las redes Ethereum y Bitcoin.
Los datos on-chain de analistas, incluyendo a ZachXBT y firmas como Arkham y PeckShield, confirmaron los movimientos de fondos, que comenzaron durante las horas europeas del martes.
El blanqueo implica dos grandes transferencias de 117 millones y 58 millones de dólares en Ethereum, con al menos 1.5 millones de dólares puenteados a Bitcoin a través de THORChain y cantidades menores enviadas a través del protocolo de privacidad Umbra, según los investigadores de blockchain.
El exploit, uno de los más grandes de 2026, resalta los riesgos de seguridad persistentes en DeFi y ha provocado una congelación parcial de los fondos, presionando a los atacantes para mover los 175 millones de dólares restantes antes de que puedan ser asegurados.
El incidente comenzó el 18 de abril cuando los atacantes explotaron el protocolo de liquid restaking KelpDAO, drenando 116,500 tokens rsETH valorados en aproximadamente 290 millones de dólares. El vector de ataque consistió en comprometer servidores en el protocolo de mensajería LayerZero, que KelpDAO utilizaba para la comunicación entre cadenas. Al introducir mensajes falsificados, los hackers autorizaron la transferencia ilícita. Desde entonces, ha surgido una disputa pública en la que LayerZero culpa a la configuración de seguridad específica de "un solo DVN" de KelpDAO, una caracterización que KelpDAO ha impugnado.
Tras el robo, los atacantes comenzaron una sofisticada operación de blanqueo. Las técnicas (uso de puentes entre cadenas como THORChain y herramientas de privacidad como Umbra) son consistentes con los métodos atribuidos anteriormente al Lazarus Group. La operación consiste en dividir los fondos y moverlos a través de múltiples canales para ocultar su origen.
En una intervención significativa, el Consejo de Seguridad de Arbitrum, actuando con información de las fuerzas del orden, congeló 30,766 ETH (con un valor de más de 71 millones de dólares) vinculados al exploit antes de que pudieran ser puenteados fuera de su red. Esta acción, aunque elogiada por algunos por recuperar una parte sustancial de los fondos, también generó debate sobre el nivel de centralización y los poderes de emergencia dentro de los ecosistemas de capa 2.
La congelación parcial parece haber forzado la mano de los atacantes, acelerando sus esfuerzos para blanquear los 175 millones de dólares restantes. Los datos on-chain muestran fondos que se están dirigiendo activamente de Ethereum a Bitcoin, lo que sugiere una carrera para mover activos fuera del alcance de las congelaciones centralizadas.
Los investigadores están siguiendo de cerca el flujo de fondos hacia carteras asociadas con el subgrupo del Lazarus Group conocido como TraderTraitor. La magnitud del hackeo y las sofisticadas técnicas de blanqueo probablemente desencadenarán una respuesta contundente de los reguladores, quienes podrían aumentar el escrutinio sobre los puentes entre cadenas y los mezcladores de privacidad como canales clave para los flujos de fondos ilícitos. El incidente sirve como una prueba crítica tanto para las capacidades de rastreo on-chain de las fuerzas del orden como para la capacidad de la comunidad DeFi para responder y mitigar brechas de seguridad a gran escala.
Este artículo es solo para fines informativos y no constituye asesoramiento de inversión.
