La posibilidad de recuperar la mayor parte de los fondos robados en el histórico ataque contra Kelp DAO se ha reducido drásticamente. Investigadores on-chain han confirmado que el actor responsable del exploit de aproximadamente 292 millones de dólares ocurrido en abril ha conseguido mover y ocultar casi la totalidad de los activos no congelados mediante una compleja red de protocolos de privacidad y herramientas de lavado de criptomonedas.
Según el seguimiento realizado por Arkham Intelligence, apenas 1,7 millones de dólares permanecen rastreables en la billetera original del atacante. El resto de los aproximadamente 220 millones de dólares que no fueron congelados han sido canalizados a través de plataformas como THORChain, Wasabi Wallet, Tornado Cash y Umbra, dificultando de forma significativa cualquier intento de recuperación basado en el rastreo de transacciones.
La evolución del caso marca el cierre de una de las investigaciones más relevantes del año dentro del ecosistema DeFi y pone nuevamente en el centro del debate la creciente sofisticación de los grupos de ciberdelincuencia vinculados a Corea del Norte.
TE PUEDE INTERESAR: Kelp DAO sufre ataque de $292 millones en rsETH tras exploit en puente LayerZero
Qué ocurrió en el hackeo de Kelp DAO
El incidente se remonta a abril, cuando un fallo relacionado con la infraestructura de puente basada en LayerZero permitió la explotación de aproximadamente 292 millones de dólares en activos.
Tras descubrirse el ataque, el Consejo de Seguridad de Arbitrum intervino rápidamente y logró congelar alrededor de 71 millones de dólares en ether (ETH). Sin embargo, el resto de los fondos quedó bajo control del atacante, iniciando una carrera contra el tiempo entre investigadores blockchain y los responsables del robo.
Mientras la comunidad y los equipos de seguridad intentaban rastrear los movimientos de los activos sustraídos, Kelp DAO avanzó en paralelo con medidas destinadas a restaurar la operatividad del protocolo y minimizar el impacto sobre los usuarios afectados.
La migración del puente de rsETH hacia Chainlink CCIP y el programa de recuperación impulsado por la alianza DeFi United permitieron restaurar aproximadamente 116.000 rsETH, resolviendo gran parte del problema desde la perspectiva de los usuarios. Sin embargo, la recuperación directa de los fondos robados siguió dependiendo de la capacidad de rastrear los activos en la blockchain.
La conexión con Lazarus Group y TraderTraitor
Las investigaciones publicadas el 18 de mayo por LayerZero, elaboradas conjuntamente con firmas de seguridad como Mandiant, CrowdStrike y zeroShadow, atribuyeron el ataque a TraderTraitor, una operación vinculada a Corea del Norte.
Este grupo también es identificado por los investigadores bajo la denominación UNC4899 y forma parte de la estructura más amplia conocida como Lazarus Group, organización que ha sido señalada durante años como responsable de algunos de los mayores robos de criptomonedas registrados en la industria.
Los investigadores concluyeron que el mismo grupo estaría relacionado con otro ataque de gran escala ocurrido durante la misma semana, en el que fueron sustraídos aproximadamente 285 millones de dólares de otro protocolo.
La atribución resulta especialmente relevante porque refuerza la hipótesis de que Corea del Norte continúa utilizando operaciones de ciberdelincuencia para financiar actividades estatales, una preocupación creciente para reguladores y organismos de seguridad internacionales.
Cómo fueron lavados los fondos robados
El proceso de lavado comenzó apenas un día después de que Arbitrum congelara parte de los activos.
El 21 de abril, la billetera controlada por el atacante transfirió aproximadamente 75.701 ETH, valorados entonces en unos 175 millones de dólares, hacia nuevas direcciones creadas específicamente para fragmentar el rastro de los fondos.
De acuerdo con los datos analizados por Arkham Intelligence, cerca de 50.700 ETH fueron distribuidos entre dos nuevas billeteras, mientras que otros 25.000 ETH fueron enviados a una tercera dirección.
A partir de ese momento comenzó una sofisticada operación de ofuscación diseñada para romper la trazabilidad de los activos.
THORChain como primer punto de salida
El investigador blockchain ZachXBT detectó los primeros movimientos de lavado el mismo día.
Las transacciones iniciales incluyeron tres operaciones a través de THORChain por un valor aproximado de 1,5 millones de dólares, además de una transferencia cercana a los 78.000 dólares utilizando Umbra, un protocolo centrado en la privacidad dentro de Ethereum.
La magnitud de la actividad fue tan elevada que el volumen diario de intercambios de THORChain alcanzó aproximadamente 394 millones de dólares en apenas 24 horas, superando ampliamente sus niveles habituales de actividad.
La estrategia de dos capas
Posteriormente, los analistas identificaron una metodología más compleja.
Según la reconstrucción realizada por el investigador on-chain conocido como Specter, los fondos siguieron una estrategia de lavado en dos etapas:
- Los activos fueron convertidos desde Ethereum hacia Bitcoin utilizando el mezclador CoinJoin de Wasabi Wallet.
- Posteriormente, regresaron a Ethereum mediante ciclos de depósitos y retiros realizados a través de Tornado Cash.
Este procedimiento permitió fragmentar aún más el historial de transacciones y dificultar la asociación entre las direcciones originales y los destinatarios finales.
Las firmas de seguridad PeckShield y Cyvers estimaron que aproximadamente 176 millones de dólares pasaron por esta infraestructura compuesta por THORChain, Umbra y otros mecanismos de transferencia antes de desaparecer prácticamente de los radares de seguimiento convencionales.
TE PUEDE INTERESAR: THORChain sufre un nuevo hack de más de $10 millones mientras RUNE se desploma 11%
Una operación cuidadosamente preparada
Los investigadores también detectaron indicios de planificación previa al ataque.
Cyvers señaló que la billetera utilizada para financiar las tarifas de gas necesarias para ejecutar la explotación recibió fondos desde Tornado Cash aproximadamente diez horas antes de que ocurriera el drenaje del puente.
Este patrón operativo coincide con tácticas previamente observadas en campañas atribuidas a TraderTraitor y otros grupos asociados con Corea del Norte, donde se utilizan servicios de privacidad antes y después de la ejecución de los ataques para dificultar la identificación de los responsables.
La presencia de estas señales refuerza la conclusión de que la operación fue diseñada con antelación y no se trató de una explotación oportunista o improvisada.
Los 71 millones congelados son la única porción recuperable
Con la desaparición práctica de los fondos no congelados, la atención se centra ahora en los aproximadamente 71 millones de dólares en ETH retenidos por Arbitrum.
Sin embargo, incluso esa cantidad enfrenta desafíos legales.
El 1 de mayo, el Tribunal de Distrito de Estados Unidos para el Distrito Sur de Nueva York emitió una orden que impide a Arbitrum DAO mover los 30.766 ETH congelados.
La medida surgió después de que varias familias beneficiarias de sentencias judiciales relacionadas con actos de terrorismo atribuidos a Corea del Norte presentaran reclamaciones sobre esos activos. Las demandas acumuladas superan los 877 millones de dólares, lo que añade una nueva capa de complejidad al eventual proceso de recuperación.
En consecuencia, aunque los fondos permanecen accesibles desde una perspectiva técnica, su destino final dependerá de procedimientos judiciales que podrían prolongarse durante meses o incluso años.
Kelp DAO ya completó la recuperación para los usuarios
A diferencia del proceso de recuperación de activos, la remediación para los usuarios afectados ya fue abordada por el ecosistema involucrado.
Kelp DAO restableció completamente la funcionalidad de rsETH a finales de mayo gracias al programa impulsado por el consorcio DeFi United, integrado por protocolos como Aave, Karak, EigenLayer y la propia Kelp.
Uno de los problemas más significativos derivados del ataque fue la generación de aproximadamente 190 millones de dólares en deuda incobrable dentro de Aave, después de que el atacante utilizara rsETH robado como garantía.
Gran parte de ese impacto fue absorbido mediante el módulo de seguridad de Aave, evitando consecuencias más amplias para los usuarios del protocolo.
TE PUEDE INTERESAR: Strategy vende 32 BTC por $2,5 millones y reduce sus reservas a 843.706 bitcoin
Qué significa este caso para la industria cripto
El caso de Kelp DAO ilustra una realidad cada vez más evidente en el ecosistema blockchain: recuperar fondos robados se vuelve extremadamente difícil una vez que los activos atraviesan múltiples capas de protocolos diseñados para preservar la privacidad.
Con apenas 1,7 millones de dólares aún rastreables de los aproximadamente 220 millones de dólares no congelados, la investigación entra en una fase donde las posibilidades de recuperación dependen menos del análisis blockchain y más de acciones regulatorias, judiciales y coordinadas entre empresas del sector.
Además, el incidente refuerza las preocupaciones sobre el papel de los grupos vinculados a Corea del Norte dentro de la ciberdelincuencia global. De acuerdo con estimaciones de Chainalysis citadas en la investigación, actores asociados al país habrían estado involucrados en 2.020 millones de dólares en robos de criptomonedas durante 2025, elevando el total acumulado a 6.750 millones de dólares.
Para Kelp DAO, el capítulo operativo parece haber quedado atrás gracias a la restauración de los servicios y la compensación a los usuarios. Sin embargo, la historia del dinero robado llega a una etapa muy distinta: una en la que la mayor parte de los fondos ha desaparecido detrás de una compleja red de herramientas de privacidad, dejando únicamente los activos congelados como una posibilidad real de recuperación.
