El autor del ataque cibernético de 293 millones de dólares contra el protocolo Kelp DAO ha lavado aproximadamente 220 millones de dólares en fondos robados durante un periodo de seis semanas, con el objetivo de volverlos imposibles de rastrear.
Según la información registrada en los exploradores de la cadena de bloques, el monedero asociado al atacante mantiene actualmente un saldo rastreable de apenas 1,7 millones de dólares, tras ejecutar múltiples transferencias orientadas a ocultar el origen del capital sustraído. Los datos del explorador Arkham confirman el vaciado progresivo de las direcciones involucradas en el incidente de seguridad original.
La sustracción inicial ocurrió el 18 de abril, fecha en la que el actor malicioso logró extraer 116.500 tokens rsETH (Kelp DAO restaked ETH) de la plataforma financiera. Este evento particular elevó de manera directa las pérdidas totales por brechas de seguridad en el sector de las criptomonedas a 630 millones de dólares tan solo durante el mes de abril. Las operaciones de ofuscación de los activos extraídos se estructuraron en un proceso técnico de dos capas para dificultar el seguimiento por parte de las firmas de análisis y autoridades.
A month after the KelpDAO incident, DPRK has successfully laundered the stolen funds, with just over $1M remaining.
The funds were laundered in two layers: first by bridging to Bitcoin and mixing through Wasabi mixer, and then by returning to Ethereum, withdrawing, and… https://t.co/rgv8swrM5b pic.twitter.com/a1LlCba0Eb
— Specter (@SpecterAnalyst) June 1, 2026
En una primera instancia, el capital fue transferido hacia la red de Bitcoin utilizando el protocolo de mezcla criptográfica Wasabi, para posteriormente regresar a la cadena de bloques de Ethereum. Una vez completado este puente entre ambas redes, el atacante procedió a depositar y retirar los activos a través del protocolo mezclador Tornado Cash, según detalla el análisis técnico de Specter. Esta secuencia de transacciones reduce sustancialmente las probabilidades de recuperación del capital no asegurado.
Paralelamente a la actividad de lavado de activos, el Consejo de Seguridad de la red Arbitrum logró congelar 71 millones de dólares el 21 de abril, deteniendo una parte de los fondos en tránsito. Tras la aprobación de una propuesta de gobernanza interna y la emisión de una orden judicial en Estados Unidos, se autorizó la transferencia de este capital inmovilizado hacia un monedero multifirma controlado por la organización Aave. Este movimiento administrativo y legal busca respaldar la recuperación de los activos rsETH correspondientes a los usuarios afectados por el protocolo.
El equipo de desarrollo de Kelp DAO informó que completó la restauración de su token de restaking tras un esfuerzo operativo de cinco semanas. La fase de recuperación final incluyó el envío de un tramo específico de 20.373,7 tokens rsETH hacia el contrato inteligente operado por LayerZero. Esta infraestructura de red es la entidad técnica responsable de bloquear, acuñar, quemar y liberar el activo digital durante los procesos de transferencia entre diferentes cadenas de bloques.
A pesar de la magnitud de las pérdidas de Kelp DAO en abril, los registros de seguridad documentaron un cambio durante el mes siguiente. Las pérdidas derivadas de vulnerabilidades en plataformas de finanzas descentralizadas descendieron a 68,3 millones de dólares en mayo.
Esta métrica de seguridad representa una caída del 90% en comparación con el volumen sustraído en el mes previo, de acuerdo con los registros consolidados de la plataforma CertiK. Del volumen comprometido en mayo, 2,6 millones de dólares correspondieron específicamente a ataques de phishing, mientras que un total de 9,4 millones de dólares fueron recuperados o devueltos con éxito a los protocolos.
El impacto del evento de Kelp DAO impulsó una revisión técnica de la infraestructura en otros protocolos del sector. En las tres semanas posteriores a la vulneración, plataformas de finanzas descentralizadas como Solv Protocol y Tydro migraron sus operaciones de oráculos hacia el Protocolo de Interoperabilidad entre Cadenas (CCIP) desarrollado por Chainlink. La propia organización Kelp DAO adoptó la infraestructura de Chainlink para gestionar su token rsETH, abandonando el puente cruzado operado previamente.
La directiva de Kelp DAO atribuyó el incidente a debilidades en la configuración de su puente de cadena cruzada. Sin embargo, la entidad desarrolladora LayerZero emitió un comunicado oficial el 20 de abril donde indicó que la explotación fue resultado de un único punto de fallo en la implementación técnica específica de Kelp DAO.
Según el reporte, el protocolo de liquidez dependía de una única Red de Verificación Descentralizada (DVN) como vía exclusiva y verificada, a pesar de la existencia de advertencias técnicas previas contra el uso de dicha configuración arquitectónica. El proceso legal para determinar los reclamos de propiedad sobre los fondos retenidos avanzará con una audiencia judicial programada para este viernes en Nueva York.
Este artículo tiene fines informativos y no constituye asesoramiento financiero.
