Uno de los mayores hackeos de criptomonedas de este año ha tomado un nuevo giro, ya que la investigación sobre el ataque a Kelp DAO revela que el atacante está moviendo cientos de millones de dólares a través de diversas redes blockchain. El incidente—que sorprendió a la comunidad cripto la semana pasada—hizo que el protocolo Kelp DAO, basado en Ethereum, perdiera casi $292 millones debido a sofisticadas tácticas de explotación. En un nuevo desarrollo, los expertos encontraron que los fondos robados están siendo transferidos sistemáticamente fuera de sus ubicaciones originales.
Seguimiento de los fondos robados
Según los hallazgos de la firma de seguridad blockchain PeckShield y el analista ZachXBT, el atacante ha estado utilizando una combinación de tecnologías centradas en la privacidad en los últimos días en un esfuerzo por ocultar los activos criptográficos robados. El análisis muestra que se han movido cantidades sustanciales de la red principal de ETH a Bitcoin utilizando servicios como THORChain y Umbra, que son conocidos por mejorar la privacidad del usuario.
PeckShield informó que un total de $176 millones en activos han sido enviados a plataformas como THORChain, Umbra, Chainflip y BitTorrent. Ember CN, un grupo de análisis en cadena, destacó que después de congelar temporalmente los activos en la red Arbitrum, el atacante comenzó a transferir alrededor de 75,700 ETH—valorados en aproximadamente $175 millones—fuera de Ethereum.
Cabe destacar que estas cifras aún no han sido confirmadas de manera independiente por Kelp DAO o LayerZero.
Detalles técnicos y debate sobre la responsabilidad
Kelp DAO se había establecido como un actor significativo en las finanzas descentralizadas (DeFi) a través de su puente rsETH en Ethereum. El incidente desencadenó un intenso debate sobre las vulnerabilidades en el diseño de puentes, los procesos de verificación de mensajes y la infraestructura asociada a LayerZero que soporta transacciones entre redes.
Ari Redbord, líder de políticas en TRM Labs, explicó que el atacante explotó el mecanismo lzReceive de LayerZero iniciando transacciones con lo que parecían ser mensajes fabricados, lo que les permitió drenar aproximadamente 116,500 rsETH del protocolo. Esta suma representa aproximadamente el 18% de todo el rsETH en circulación.
Redbord enfatizó que esta salida rápidamente se convirtió en una importante brecha de seguridad entre cadenas, ubicándose entre las filtraciones de DeFi más significativas en los últimos años.
Después del ataque, LayerZero sugirió que el notorio grupo Lazarus, vinculado a Corea del Norte, podría estar involucrado, citando fallas en la verificación de mensajes de un solo punto como posible punto de entrada para la explotación. Kelp DAO, a su vez, señaló debilidades dentro de la arquitectura de LayerZero como el núcleo del problema.
Impacto en la industria DeFi y evolución en los movimientos de fondos
Una respuesta clave tras la brecha fue el congelamiento de aproximadamente $71 millones en ETH en la red Arbitrum, marcando una de las medidas más decisivas hasta la fecha. A pesar de esto, el atacante se mantuvo activo, moviendo fondos robados en pequeños segmentos a otras redes usando métodos innovadores.
Después del incidente, las principales plataformas DeFi que interactuaban con rsETH—incluyendo Aave, SparkLend, Fluid y Upshift—realizaron revisiones urgentes para reducir riesgos y reevaluar sus marcos de colateral. Estos movimientos han desencadenado debates generalizados sobre la calidad del colateral, el mantenimiento del valor estable y los complejos escenarios de deuda entre cadenas.
Si bien el alcance completo de los cambios de fondos posteriores al ataque aún no está claro, las transferencias recientes a través de cadenas orientadas a la privacidad como THORChain y Umbra sugieren que los atacantes están estableciendo rutas de escape complejas. Los expertos advierten que estos pasos obstaculizarán seriamente los esfuerzos para rastrear y recuperar los activos robados.
A pesar de esto, los analistas han observado que las cantidades en estas nuevas transferencias permanecen relativamente limitadas dado el daño total, especulando que los atacantes pueden estar experimentando con rutas en lugar de liquidar los activos aún.
En última instancia, los eventos han reforzado la importancia crítica del congelamiento de Arbitrum como una medida de contención inicial. Sin embargo, a medida que el rastro se vuelve más complicado con cada nueva transferencia, perseguir los activos malversados se está convirtiendo en un desafío global cada vez más complicado.
