Los fondos robados a KelpDAO activaron un procedimiento de lavado de dinero, el volumen diario de THORChain se disparó 10 veces

El analista de análisis on-chain Specter informó que la organización de hackers norcoreana TraderTraitor comenzó el 22 de abril a ejecutar operaciones de blanqueo de capitales con los fondos robados de KelpDAO, apenas tres horas después de que el Comité de Seguridad de Arbitrum congelara aproximadamente 30,766 ETH. Los atacantes canalizaron los fondos mediante un puente THORChain hacia la red de Bitcoin, lo que provocó que el volumen de operaciones diario superara 10 veces el promedio diario.

Detalles de la operación de blanqueo: tres monederos, técnicas de mezcla y transferencias entre cadenas

（Fuente: Arkham）

Los atacantes dividieron los fondos restantes en tres monederos: el primero contiene aproximadamente 25,000 ETH (unos 57.6 millones de dólares), el segundo contiene aproximadamente 25,700 ETH (unos 59.2 millones de dólares) y el tercero, después de recibir los fondos, inició inmediatamente el blanqueo; actualmente solo le quedan aproximadamente 3,800 ETH (unos 8 millones de dólares).

Durante el proceso de blanqueo, los fondos robados se mezclaron con los ingresos ilícitos de los incidentes de hackers de BTC Turk (2025) y Bybit (2025). Este es un patrón de operación típico de la organización TraderTraitor: al integrar fondos de múltiples incidentes, aumenta la dificultad del rastreo on-chain. Specter señaló que, aunque rastreó 356 direcciones relacionadas, todavía hay algunos monederos intermedios que no se incluyeron en las estadísticas; el número total de direcciones utilizadas durante todo el proceso supera las 400.

Efecto en cadena del ataque a KelpDAO: deudas incobrables en Aave hasta una caída brusca del DeFi TVL

Según el análisis de Messari, la causa fundamental de este ataque radica en la configuración 1:1 DVN de LayerZero EndpointV2, que permite a los atacantes falsificar mensajes entre cadenas. Después de infiltrarse en dos nodos LayerZero DVN, los atacantes simularon la destrucción (burn) de rsETH y activaron la liberación no autorizada de 116,500 rsETH.

Los efectos posteriores se extendieron rápidamente por todo el ecosistema DeFi: las deudas incobrables de Aave se estiman entre 123.7 millones y 230.1 millones de dólares; el TVL cayó de aproximadamente 45.8 mil millones a 35.7 mil millones de dólares. El TVL total de DeFi cayó más de 13 mil millones de dólares en 48 horas. El token AAVE cayó aproximadamente 25%. El mercado WETH alcanzó un uso del 100%, lo que provocó una salida de fondos de 6.2 mil millones de dólares.

Medidas de respuesta temprana y plan de compensación para titulares de rsETH

Las principales medidas de respuesta incluyen: el congelamiento de aproximadamente 30,766 ETH por parte del Comité de Seguridad de Arbitrum; la suspensión de Kelp de todos los contratos rsETH en la mainnet y en la capa L2; y la prohibición por parte de LayerZero del uso futuro de la configuración 1:1 DVN. Kelp está considerando aplicar una medida de compensación de pérdidas del 16% a los titulares de rsETH, pero Messari indicó que esta acción podría afectar la confianza de los usuarios de los protocolos afectados y la dinámica de recuperación.

Preguntas frecuentes

¿Por qué TraderTraitor eligió THORChain como canal para el blanqueo?

THORChain es un protocolo de liquidez entre cadenas sin permisos que permite intercambiar activos entre distintas blockchains y no exige verificación KYC. Anteriormente, en el incidente de hackers de Bybit, TraderTraitor también adoptó el mismo canal de THORChain, lo que muestra que esto se ha convertido en un patrón fijo de operación para la organización de hackers norcoreana tras grandes robos.

¿Por qué este blanqueo necesitó mezclar fondos con los incidentes de Bybit y BTC Turk?

La mezcla de fondos es una práctica estándar de blanqueo: al combinar fondos robados de múltiples incidentes, se vuelve más difícil para quienes rastrean identificar el origen y la atribución originales de fondos específicos. En el proceso de circulación de los fondos robados de KelpDAO a través de THORChain, estos ya se mezclaron con los fondos ilícitos de los incidentes de hackers de 2025 de BTC Turk y Bybit, formando una cadena de fondos más difícil de desentrañar.

¿Cómo afecta el plan de compensación de pérdidas del 16% de Kelp a los titulares de rsETH?

Si el plan de compensación se confirma finalmente, los titulares de rsETH asumirán aproximadamente el 16% de las pérdidas según la proporción de sus tenencias; es decir, para los titulares de cada 100 rsETH, el valor nominal de sus activos se descontaría aproximadamente un 16%. El mecanismo de compensación ayuda a mitigar parte de las pérdidas de los usuarios afectados, pero también podría afectar la velocidad de recuperación de la confianza del mercado en rsETH y en el protocolo de Kelp en su conjunto.