Hackers de KelpDAO mueven USD $175 millones y aceleran lavado de cripto robada

Los fondos robados en el exploit de KelpDAO ya comenzaron a moverse entre Ethereum y Bitcoin, en una señal temprana de lavado que vuelve a encender las alertas sobre seguridad, contagio y presión en el ecosistema DeFi.
***

• Los atacantes movieron transferencias por unos USD $117 millones y USD $58 millones en Ethereum.
• Parte del botín ya cruzó de Ethereum a Bitcoin mediante Thorchain, junto con USD $78.000 enviados por Umbra.
• Arbitrum informó el congelamiento de USD $71 millones en ether vinculados al hack de KelpDAO.

---

Los hackers responsables del exploit contra KelpDAO ya comenzaron a mover parte de los fondos robados, en lo que analistas onchain describen como el inicio de un proceso de lavado. El caso añade presión sobre el sector de las finanzas descentralizadas, o DeFi, que en las últimas horas ha enfrentado nuevas dudas sobre la capacidad de respuesta de los protocolos frente a ataques de gran escala.

La brecha, valorada en unos USD $290.000.000, figura entre los incidentes más severos ocurridos en meses recientes dentro de DeFi. A medida que los fondos empiezan a dispersarse entre distintas redes y herramientas de privacidad, también crece el temor a un posible contagio hacia otros protocolos o infraestructuras conectadas al ecosistema.

De acuerdo con datos de Arkham y con el seguimiento del investigador onchain ZachXBT, la billetera que controla los activos procedentes del exploit realizó dos grandes transferencias en la red Ethereum durante el horario europeo del martes. Esos movimientos fueron de aproximadamente USD $117.000.000 y USD $58.000.000.

Los primeros movimientos del botín robado

El desplazamiento de fondos es una etapa clave para entender la estrategia del atacante. En incidentes de este tipo, los primeros movimientos suelen revelar si el responsable busca una salida rápida, una fragmentación progresiva del botín o una operación más sofisticada de ocultamiento mediante múltiples capas y servicios intermedios.

En este caso, ZachXBT indicó que una porción de los activos ya comenzó a cruzar cadenas. Según ese rastreo, cerca de USD $1.500.000 fueron puenteados de Ethereum a Bitcoin a través de Thorchain. Además, otros USD $78.000 fueron enviados mediante Umbra, un protocolo de privacidad diseñado para dificultar la trazabilidad directa de ciertas transacciones.

El uso combinado de puentes entre redes y herramientas de privacidad es una señal relevante. Dentro del análisis forense blockchain, esta fase suele asociarse con el llamado layering, un proceso mediante el cual se fragmentan y redistribuyen fondos para hacer más complejo su seguimiento y, eventualmente, su salida hacia otros servicios o plataformas.

Que el atacante haya comenzado ya con estas maniobras sugiere una posible intención de dispersar aún más los activos en distintos entornos. Ese patrón no confirma por sí solo la identidad del responsable, pero sí encaja con métodos utilizados en otros hacks de alto perfil, especialmente cuando los fondos se mueven con rapidez antes de que más redes o protocolos puedan inmovilizarlos.

Thorchain, Umbra y el reto del rastreo

Para los lectores menos familiarizados con la mecánica de estos ataques, Thorchain es un protocolo que facilita intercambios entre distintas blockchains sin depender de un intermediario centralizado tradicional. Esa flexibilidad puede ser útil para usuarios legítimos, pero también puede atraer a actores maliciosos que buscan saltar de una red a otra para romper el rastro del dinero robado.

Umbra, por su parte, es una herramienta de privacidad sobre Ethereum. Su objetivo es reducir la visibilidad pública de ciertas transferencias, algo valorado por usuarios que desean proteger su actividad financiera, pero que también puede complicar el trabajo de investigadores cuando se usa en contextos delictivos.

La combinación de ambos recursos en una etapa temprana del caso es especialmente sensible. Cuando un atacante mezcla puentes cross-chain con mecanismos de privacidad, el seguimiento técnico todavía es posible, pero exige más tiempo, correlación de datos y cooperación entre redes, analistas, empresas de cumplimiento y, en algunos casos, autoridades.

Según la información citada por la fuente, grupos norcoreanos como Lazarus han utilizado antes protocolos como Thorchain para lavar fondos sustraídos. Esa referencia no implica que este caso les pertenezca, pero sí aporta contexto sobre por qué el mercado suele reaccionar con especial cautela cuando aparecen este tipo de rutas de salida.

Impacto inmediato en DeFi y temor al contagio

El exploit de KelpDAO no solo destaca por el monto comprometido, sino también por el momento en que ocurre. DeFi depende de una red de contratos inteligentes, puentes, garantías y posiciones apalancadas que a menudo están interconectadas. Cuando una plataforma sufre una brecha de gran tamaño, los inversionistas y usuarios tienden a revisar su exposición en otros protocolos relacionados.

Esa reacción puede derivar en ventas apresuradas, retiros de liquidez y liquidaciones, incluso si el daño no afecta directamente a todos los participantes. En este caso, la noticia del exploit impulsó una ola de sentimiento negativo en el sector, acompañada por el miedo de que el incidente pudiera extender tensión a otras blockchains o aplicaciones descentralizadas.

El término contagio, en el contexto de DeFi, no siempre significa un hack en cadena sobre varias plataformas. También puede referirse a un deterioro de confianza que lleva a ajustes bruscos en precios, garantías, préstamos y actividad de mercado. Por eso, incluso cuando el ataque se concentra en un protocolo específico, sus efectos pueden sentirse más allá del lugar original de la brecha.

Este tipo de episodios recuerda que la transparencia de blockchain no elimina el riesgo operativo. De hecho, en ataques complejos, la visibilidad pública de los movimientos ayuda a seguir el dinero, pero no garantiza por sí sola una recuperación rápida ni evita que los responsables aprovechen la velocidad del ecosistema para redistribuir activos antes de que se activen más medidas defensivas.

La respuesta de Arbitrum y la presión sobre el atacante

Uno de los desarrollos más relevantes tras el hack fue la decisión de Arbitrum de congelar USD $71.000.000 en ether vinculados al exploit. La medida fue informada el lunes y representa una de las pocas acciones concretas capaces de limitar parcialmente la movilidad de una porción importante del botín.

El congelamiento, sin embargo, también puede modificar el comportamiento del explotador. Si una parte de los activos queda inmovilizada o bajo mayor vigilancia, el atacante podría optar por acelerar la dispersión del resto de los fondos en redes, protocolos o servicios donde perciba menores probabilidades de intervención.

Esa dinámica suele producir una carrera contra el tiempo entre analistas e infractores. Mientras los primeros intentan mapear direcciones, rutas y contrapartes, los segundos buscan fragmentar el capital, multiplicar transacciones y aprovechar la interoperabilidad entre cadenas para reducir la capacidad de respuesta coordinada.

En la práctica, la congelación de fondos no resuelve por completo el incidente, pero sí altera el balance del caso. Puede mejorar las probabilidades de recuperación parcial y, al mismo tiempo, empujar a los responsables a exponer más señales operativas en su intento por mover lo que aún controlan.

Qué deja este caso para el mercado

Más allá del seguimiento puntual de las billeteras, el caso KelpDAO vuelve a poner sobre la mesa una discusión conocida en la industria: la tensión entre apertura, privacidad, interoperabilidad y seguridad. Las mismas herramientas que hacen más flexible a DeFi también pueden ser explotadas por atacantes con suficiente conocimiento técnico y rapidez de ejecución.

Para usuarios e inversionistas, el episodio subraya la importancia de evaluar no solo el rendimiento potencial de un protocolo, sino también su arquitectura de riesgo, sus mecanismos de respuesta y su dependencia de infraestructuras externas como puentes y capas adicionales. En mercados altamente conectados, una vulnerabilidad aislada puede convertirse con facilidad en un evento de estrés más amplio.

La información disponible hasta ahora muestra que el lavado de los fondos robados ya está en marcha. Los movimientos detectados incluyen transferencias por USD $117.000.000 y USD $58.000.000 en Ethereum, el puente de cerca de USD $1.500.000 desde Ethereum hacia Bitcoin vía Thorchain y el envío de USD $78.000 mediante Umbra, mientras Arbitrum informó el congelamiento de USD $71.000.000 en ether ligados al hack.

Con esos datos sobre la mesa, el mercado seguirá atento a dos frentes. El primero es la capacidad de rastreo y eventual recuperación de activos. El segundo es el impacto reputacional y financiero que pueda dejar uno de los mayores golpes recientes sobre DeFi, justo cuando la confianza sigue siendo uno de los activos más sensibles del sector.