El hacker de Kelp DAO continúa moviendo con rapidez los fondos sustraídos en uno de los incidentes más relevantes del ecosistema DeFi reciente. Datos onchain revelan que el atacante ya ha lavado alrededor de $80 millones en Ethereum (ETH), principalmente utilizando el protocolo descentralizado THORChain, lo que ha disparado el volumen de actividad en dicha plataforma a niveles inusuales.
El caso, que involucra el drenaje de aproximadamente $292 millones desde Kelp DAO, vuelve a poner en el centro del debate el papel de los protocolos sin custodia en operaciones de alto riesgo, así como los límites reales de intervención en infraestructuras descentralizadas.
TE PUEDE INTERESAR: Aave en riesgo: pérdidas podrían alcanzar $230 millones tras exploit de Kelp DAO
Un movimiento acelerado del hacker de Kelp DAO tras el congelamiento parcial de fondos
El ataque a Kelp DAO —una plataforma impulsada por la tecnología de LayerZero— dejó inicialmente un rastro claro en la blockchain. Sin embargo, el comportamiento del atacante cambió de forma significativa después de una intervención clave.
El Consejo de Seguridad de Arbitrum logró congelar aproximadamente 30.766 ETH, limitando el acceso a una parte considerable de los activos robados. Esta acción, lejos de frenar completamente al atacante, habría actuado como catalizador.
Según el analista onchain EmberCN, el hacker respondió movilizando rápidamente el resto de los fondos disponibles. En total, el explotador había transferido previamente cerca de $175 millones en ETH fuera de la red Ethereum, lo que abrió la puerta a operaciones de lavado más sofisticadas.
THORChain, eje central del lavado de fondos del hacker de Kelp DAO
El elemento más crítico en esta fase del ataque ha sido el uso intensivo de THORChain. De acuerdo con los datos analizados, la mayor parte del ETH sustraído fue convertido en Bitcoin (BTC) mediante swaps cross-chain dentro de este protocolo.
En cifras concretas, el hacker de Kelp DAO habría lavado alrededor de 34.500 ETH, equivalentes a unos $80 millones, utilizando principalmente esta infraestructura. Este tipo de conversión —de ETH a BTC— es una estrategia recurrente en actividades ilícitas dentro del ecosistema cripto, ya que permite diversificar y dificultar el rastreo de los fondos.
La consecuencia inmediata fue un incremento abrupto en la actividad de THORChain:
- Volumen en 24 horas: $394 millones
- Promedio habitual: entre $10 millones y $35 millones
- Ingresos por comisiones: aproximadamente $456.000
Este salto representa un crecimiento extraordinario que supera ampliamente los niveles normales del protocolo, reflejando el impacto directo de una sola entidad sobre la liquidez y uso de la plataforma.
Un patrón conocido: conversión a Bitcoin para dificultar rastreo
La conversión de Ethereum a Bitcoin no es casual. BTC, al operar bajo una arquitectura distinta y con menor capacidad de programación compleja en comparación con Ethereum, ofrece ciertas ventajas desde la perspectiva del anonimato operativo.
Además, el uso de protocolos sin custodia como THORChain elimina intermediarios centralizados que podrían bloquear o congelar transacciones. Esto convierte a estas plataformas en herramientas atractivas para actores maliciosos.
Este patrón ya ha sido observado en incidentes anteriores, donde fondos robados en Ethereum terminan siendo convertidos y redistribuidos en Bitcoin para fragmentar el rastro financiero.
Sospechas sobre el grupo Lazarus y el precedente de Bybit
Las sospechas sobre la autoría del ataque apuntan hacia el Lazarus Group, una organización vinculada a Corea del Norte conocida por su historial de ataques a gran escala en el ecosistema cripto.
Este grupo ha sido relacionado previamente con el robo de más de $1,5 mil millones del exchange Bybit, donde también se emplearon técnicas similares de lavado mediante conversiones entre cadenas.
La posible conexión refuerza la hipótesis de que el ataque a Kelp DAO no fue un evento aislado, sino parte de una estrategia más amplia y sofisticada de extracción y lavado de capitales dentro del ecosistema blockchain.
TE PUEDE INTERESAR: Arbitrum congeló $71 millones en ETH vinculados al exploit de Kelp DAO
La postura de THORChain: neutralidad y resistencia a la censura
El aumento en el uso de THORChain para actividades ilícitas ha reavivado críticas sobre su modelo operativo. A diferencia de plataformas centralizadas, este protocolo mantiene una postura clara: no intervenir.
En una comunicación reciente, THORChain reafirmó su filosofía:
“Fue diseñado siguiendo el modelo de Bitcoin para ser sin permisos y resistente a la censura. No hay una entidad única en control, ni claves administrativas.”
Este enfoque implica que:
- No existe un punto central de decisión
- No hay mecanismos para congelar fondos
- Los nodos validadores ejecutan el código de forma autónoma
Desde una perspectiva técnica, esto garantiza neutralidad. Sin embargo, desde el punto de vista regulatorio y de seguridad, abre interrogantes sobre la capacidad del ecosistema para mitigar abusos.
Impacto en el ecosistema DeFi y riesgos sistémicos
El caso del hacker de Kelp DAO no solo representa una pérdida millonaria, sino que también expone vulnerabilidades estructurales en el ecosistema DeFi:
- Dependencia de puentes cross-chain: Los protocolos como LayerZero facilitan la interoperabilidad, pero también amplían la superficie de ataque.
- Limitaciones en la respuesta: Incluso con acciones como el congelamiento parcial en Arbitrum, los atacantes pueden reaccionar rápidamente y mover fondos restantes.
- Uso de infraestructuras neutrales: Protocolos como THORChain, diseñados para ser resistentes a la censura, pueden ser utilizados tanto para fines legítimos como ilícitos.
Análisis: velocidad, liquidez y anonimato como ventaja del hacker de Kelp DAO
El elemento más revelador de este incidente es la combinación de tres factores clave:
- Velocidad: el hacker actuó rápidamente tras el congelamiento parcial
- Liquidez: utilizó un protocolo con suficiente profundidad para procesar grandes volúmenes
- Anonimato operativo: aprovechó la naturaleza permissionless del ecosistema
Esta combinación permitió que, en cuestión de horas, se movieran decenas de millones de dólares sin intervención efectiva.
Perspectiva: ¿puede el ecosistema adaptarse a este tipo de amenazas?
El caso del hacker de Kelp DAO marca un punto de inflexión en la conversación sobre seguridad en DeFi. A medida que los protocolos evolucionan hacia modelos más descentralizados, la capacidad de respuesta ante incidentes se vuelve más limitada.
Esto plantea un dilema fundamental:
- Mayor descentralización = mayor resistencia a la censura
- Pero también = menor capacidad de intervención ante ataques
En este contexto, el equilibrio entre libertad y seguridad sigue siendo uno de los mayores desafíos del ecosistema cripto.
TE PUEDE INTERESAR: DeFi se desploma: pérdidas superan los $600 millones tras exploit de Kelp DAO y hunden el TVL a mínimos anuales
El lavado de $80 millones en ETH por parte del hacker de Kelp DAO, canalizado principalmente a través de THORChain, no es solo un episodio aislado, sino una señal clara de cómo los actores maliciosos están evolucionando junto con la infraestructura blockchain.
La sofisticación operativa, sumada a la falta de puntos de control centralizados, redefine las reglas del juego en términos de seguridad y supervisión. Mientras tanto, protocolos como THORChain continúan operando bajo principios inmutables, incluso cuando su uso genera controversia.
La pregunta ya no es si estos eventos seguirán ocurriendo, sino qué tan preparado está el ecosistema para responder cuando sucedan nuevamente.
