Angela TrenardEl explotador de Kelp DAO lava casi la totalidad de los 75.700 ETH robados a través de THORChain
El explotador detrás del hackeo de aproximadamente $293 millones a Kelp DAO ha logrado lavar casi la totalidad de los 75.700 Ether (ETH) robados, valorados en aproximadamente $175 millones al momento del movimiento. El atacante utilizó principalmente el protocolo THORChain para intercambiar el Ether por Bitcoin (BTC), y también empleó el protocolo de privacidad Umbra, generando alrededor de $910,000 en comisiones para THORChain, según el analista de blockchain EmberCN.
La mayoría de las direcciones del atacante ya están vacías, y el uso de THORChain dificulta significativamente el rastreo, reduciendo las posibilidades de recuperación, según datos de Arkham Intelligence.
El atacante ejecuta una estrategia de salida masiva vía THORChain
El sábado anterior, el atacante drenó aproximadamente 116.500 restaked Ether (rsETH) de Kelp DAO, valorados entre $290 y $293 millones en ese momento. El ataque ocurrió a través del puente LayerZero de rsETH.
El martes, el atacante comenzó a mover los fondos, enviando aproximadamente 75.700 ETH (valorados en $175 millones en ese momento) a billeteras recién creadas. Los fondos fueron enrutados a través de THORChain —un protocolo de intercambio descentralizado entre cadenas— y el protocolo de privacidad Umbra.
Arkham Intelligence señaló en un informe que los patrones de transacción indican que los «atacantes están ejecutando una estrategia de salida en lugar de sentarse sobre el botín». THORChain dificulta el rastreo, reduciendo las posibilidades de recuperación.
Para el jueves, la billetera principal etiquetada como «exploit» estaba prácticamente vacía, según datos de Arkham. Quedan $910,000 en ingresos por comisiones para THORChain.
Arbitrum congela 30.766 ETH vinculados al exploit
El Consejo de Seguridad de Arbitrum actuó de forma independiente y congeló 30.766 ETH vinculados al exploit. Estos fondos fueron movidos a una billetera intermediaria que ahora solo puede ser accedida mediante una acción de gobernanza adicional.
Esta porción congelada representa la única parte del botín que podría ser recuperable, mientras que el resto (75.700 ETH) ya fue lavado exitosamente.
Aave enfrenta hasta $230 millones en deuda incobrable
El hacker utilizó los fondos robados (rsETH/ETH) como colateral en Aave para pedir préstamos contra el protocolo. Según estimaciones iniciales, se generaron aproximadamente $195 millones en deuda incobrable (bad debt) en Aave.
«Nuestra prioridad son nuestros usuarios, y cada decisión que tomamos está dirigida a un retorno ordenado a las condiciones normales del mercado y al mejor resultado posible para todos los involucrados», declaró Stani Kulechov, fundador y CEO de Aave, en una publicación del miércoles en X.
En una publicación del jueves en X, Kelp DAO indicó que están avanzando hacia una «solución adecuada» y que sus esfuerzos están dirigidos a «proteger a nuestros usuarios y fortalecer el protocolo».
Según el proveedor de riesgo de Aave, existen dos escenarios de riesgo principales:
Escenario 1: Deuda de $123.7 millones
Las pérdidas se distribuirían entre todos los tenedores de rsETH en Ethereum mainnet y L2s. Esto reduciría la deuda en Aave pero presenta un riesgo de despegue del 15% de rsETH frente a ETH.
Escenario 2: Deuda de $230.1 millones
Toda la pérdida se concentraría en los tenedores de rsETH en L2s de Ethereum, dejando a Aave con la deuda total.
Un exploit que agita las finanzas descentralizadas
Este incidente es uno de los mayores exploits de 2024 en el ecosistema DeFi. El exploit afectó no solo a Kelp DAO sino también a Aave, demostrando la interconexión de los protocolos y el riesgo de contagio en DeFi.
El uso de THORChain por parte de atacantes —incluyendo grupos como Lazarus, según informes relacionados sobre malware en macOS— subraya un desafío creciente en el rastreo de activos robados en el ecosistema multi-cadena.
