Atacante de Kelp DAO Mueve $175 Millones en Ether para Lavado Tras Exploit de $290 Millones

La cartera vinculada al atacante del exploit de aproximadamente $290 millones contra Kelp DAO transfirió este martes unos 75,700 Ether (ETH), valorados en $175 millones, a nuevas direcciones de blockchain. Los movimientos, detectados por la firma de inteligencia on-chain Arkham, incluyen transacciones a través de los protocolos no custodios THORChain y Umbra, marcando el aparente inicio de la fase de lavado de los fondos robados el pasado sábado.

Los Movimientos del Atacante y la Respuesta Inmediata

Detalles de las Transacciones

Según el informe de Arkham, la cartera etiquetada como perteneciente al atacante ejecutó tres transacciones principales. Estas movilizaron 25,000 ETH, 50,700 ETH y 0.7 ETH, sumando aproximadamente 75,700 ETH con un valor de mercado cercano a los $175 millones. Los fondos fueron enviados a nuevas direcciones de blockchain creadas específicamente para estos movimientos.

Uso de Protocolos para Ocultar el Rastro

El investigador de blockchain ZachXBT reportó que parte de los fondos fueron movilizados a través de los protocolos THORChain y Umbra. Se identificaron transacciones por un valor aproximado de $1.5 millones en tres movimientos separados a través de THORChain, y una transacción de unos $78,000 mediante Umbra. Estos protocolos, al ser no custodios y no requerir procesos de conozca a su cliente (KYC), pueden complicar significativamente el rastreo y la eventual recuperación de los activos. Este método recuerda al utilizado en el hackeo a Bybit, donde THORChain fue empleado de manera masiva.

Congelación de Fondos por Arbitrum

Horas antes de que el atacante iniciara estos movimientos, el consejo de seguridad de 12 miembros de Arbitrum ejecutó una acción de emergencia. Esta medida resultó en la congelación de 30,766 ETH vinculados al exploit. Los fondos fueron trasladados a una «cartera congelada intermediaria», a la que solo se puede acceder mediante un proceso de gobernanza de la DAO de Arbitrum, bloqueando efectivamente esa porción del botín.

Contexto: El Exploit Original y su Causa Técnica

El Ataque del Sábado a Kelp DAO

El incidente se originó el sábado anterior, cuando el atacante comprometió el puente rsETH de Kelp DAO, impulsado por la infraestructura de mensajería cross-chain de LayerZero. El monto sustraído fue de aproximadamente 116,500 rsETH (Restaked Ether), que en el momento del ataque tenían un valor estimado entre $290 y $293 millones.

La Explicación de LayerZero

LayerZero, el protocolo subyacente, emitió una declaración atribuyendo la vulnerabilidad a una configuración específica por parte de Kelp DAO. La compañía explicó que Kelp DAO configuró su Red de Verificadores Descentralizados (DVN) en un modo 1/1.

«Esta configuración creó un punto único de fallo al depender de una única ruta de verificación para mensajes cross-chain», señaló LayerZero, añadiendo que habían advertido previamente contra el uso de dicha configuración por los riesgos que conlleva.

Contagio en el Ecosistema DeFi y Impacto en Aave

Exposición y Deuda Incobrable en Aave

El atacante utilizó una porción de los fondos robados de Kelp DAO como colateral para tomar préstamos en el protocolo de lending Aave, generando exposición para esta plataforma. Inicialmente, se estimó que unos $195 millones estaban en riesgo. Un informe de incidentes publicado por Aave el 20 de abril detalló dos escenarios potenciales de deuda incobrable («bad debt»): uno de aproximadamente $123.7 millones y otro más severo de alrededor de $230.1 millones.

Medidas de Aave y Consecuencias del Mercado

En respuesta, Aave descongeló las reservas de WETH (Wrapped Ether) en su mercado Ethereum Core V3 para aliviar la presión, pero mantuvo las reservas congeladas en sus mercados Prime, Arbitrum, Base, Mantle y Linea. El evento desencadenó una crisis de liquidez y un pico en las tasas de préstamo dentro del protocolo. Según Julio Moreno, Jefe de Investigación de CryptoQuant, la tasa de préstamo para USDT en Aave se disparó desde un 3% hasta un 14%, alcanzando su nivel más alto desde diciembre de 2024.

El impacto se reflejó en salidas masivas de capital. Datos de DeFiLlama muestran que el Valor Total Bloqueado (TVL) en Aave cayó aproximadamente $10,000 millones, situándose en alrededor de $16,400 millones, una reducción atribuida al temor por un contagio más amplio en el sector DeFi.

Perspectivas y Desafíos para la Recuperación

El Reto del Rastreo en Protocolos No Custodios

La utilización de protocolos como THORChain representa un desafío significativo para la trazabilidad completa de los fondos. Sin embargo, experiencias pasadas sugieren que los flujos no son completamente indetectables. En referencia al histórico hackeo de Bybit, Ben Zhou, CEO del exchange, señaló que, a pesar del uso extensivo de THORChain, aproximadamente el 77% de los fondos seguían siendo rastreables.

Estado Actual y Siguientes Pasos

La situación actual presenta un panorama fragmentado: una parte de los fondos ha sido congelada por Arbitrum, otra está en movimiento por parte del atacante utilizando técnicas de ofuscación, y el ecosistema DeFi sufre las consecuencias en forma de pérdida de liquidez y confianza. La recuperación de los activos dependerá en gran medida de la colaboración continua entre los equipos de seguridad de los protocolos afectados, los analistas on-chain y las plataformas de intercambio, así como de la capacidad para seguir el rastro de los fondos a través de las múltiples capas y protocolos utilizados.