Fondos robados vinculan a Lazarus Group con los ataques contra KelpDAO y Humanity Protocol

Nuevas evidencias en blockchain fortalecen la hipótesis de que los ataques sufridos por KelpDAO y Humanity Protocol fueron ejecutados por una misma infraestructura de lavado de activos vinculada a Corea del Norte. Analistas aseguran que los fondos robados en ambos incidentes terminaron convergiendo en las mismas billeteras de Bitcoin, un patrón característico de Lazarus Group.

***

• Fondos robados en KelpDAO y Humanity Protocol convergieron en las mismas billeteras.
• Los movimientos coinciden con técnicas históricamente atribuidas al grupo Lazarus.
• El ataque a Humanity Protocol habría comenzado mediante una campaña de phishing.
• La recuperación de parte de los fondos podría derivar en nuevas disputas legales.

---

ALERTA CRIPTO

Nuevas evidencias apuntan al Lazarus Group en los ataques a KelpDAO y Humanity Protocol.

Fondos robados de ambos incidentes convergen en las mismas billeteras de Bitcoin.

Investigaciones confirman que la infraestructura de lavado de activos está vinculada… pic.twitter.com/mcnsiGRGwr

— Diario฿itcoin (@DiarioBitcoin) June 27, 2026

 

Nuevas pruebas obtenidas a partir del análisis de blockchain apuntan a una conexión cada vez más sólida entre dos de los mayores ataques registrados este año contra el ecosistema de criptomonedas: el exploit de KelpDAO, valorado en USD $292 millones, ocurrido en abril, y el robo de claves privadas sufrido por Humanity Protocol en junio.

Aunque desde un principio ambos incidentes despertaron sospechas por presentar características típicas de operaciones atribuidas al grupo norcoreano Lazarus, un nuevo análisis del investigador Specter, reseñado por Cryptopolitan, muestra que los fondos sustraídos en ambos ataques terminaron concentrándose en las mismas billeteras de Bitcoin, reforzando la teoría de que forman parte de una única operación de lavado de dinero.

Los fondos terminaron en la misma infraestructura

Según Specter, el atacante de Humanity Protocol trasladó 15.403 ETH, equivalentes a unos USD $23,6 millones, hacia una dirección relativamente nueva en Ethereum. Posteriormente, esos activos fueron puenteados hacia la red Bitcoin, donde se mezclaron con fondos previamente identificados como procedentes del exploit contra KelpDAO.

Este tipo de consolidación de activos constituye una técnica ampliamente documentada en operaciones atribuidas al grupo Lazarus. Habitualmente, los atacantes agrupan los fondos obtenidos en distintos robos dentro de una misma infraestructura de Bitcoin antes de enviarlos a mezcladores (mixers) y mesas OTC, dificultando el rastreo posterior del dinero.

La coincidencia fue detectada también por otros investigadores especializados, entre ellos ZachXBT, quienes consideran que este patrón constituye una fuerte evidencia de que ambos ataques fueron coordinados por una misma organización criminal.

Dos ataques distintos, un posible mismo responsable

El ataque contra KelpDAO, ocurrido el 18 de abril, fue posible tras comprometer nodos RPC internos operados por LayerZero Labs, mientras los atacantes lanzaban simultáneamente ataques de denegación de servicio (DDoS) contra nodos externos, según una investigación de Chainalysis.

La maniobra permitió engañar al contrato puente de Ethereum para liberar aproximadamente 116.500 rsETH sin que existiera la correspondiente quema de tokens en la cadena de origen.

Posteriormente, el Consejo de Seguridad de Arbitrum logró congelar más de 30.000 ETH pertenecientes a los atacantes, mientras que la suspensión de emergencia implementada por KelpDAO evitó que otros USD $95 millones fueran drenados.

El caso de Humanity Protocol siguió una metodología diferente, aunque las conclusiones terminan apuntando hacia el mismo origen. De acuerdo con el informe forense elaborado por Quantstamp, el ataque comenzó mediante un correo de phishing enviado a Chong Yee Wai, director de la compañía, simulando provenir del exchange surcoreano Bithumb.

El malware permitió a los atacantes obtener acceso remoto al equipo del ejecutivo, copiar las claves privadas almacenadas en MetaMask y utilizarlas para acuñar y vender de forma fraudulenta tokens H tanto en Ethereum como en BNB Smart Chain, provocando un desplome cercano al 89% en el precio del activo. Quantstamp calificó el incidente como “característico de intrusiones vinculadas a Corea del Norte” y estimó que los atacantes aún conservan más de USD $21 millones en ETH.

La recuperación de los fondos podría complicarse

La confirmación de la posible participación de Corea del Norte también añade un nuevo componente legal al caso.

Actualmente existen más de USD $877 millones en sentencias pendientes emitidas por tribunales estadounidenses contra el régimen norcoreano. En mayo, un grupo de demandantes presentó una orden judicial para intentar apropiarse de aproximadamente 30.766 ETH —valorados entonces en unos USD $71 millones— congelados tras el ataque a KelpDAO, argumentando que cualquier activo vinculado al gobierno de Corea del Norte podría ser utilizado para satisfacer esas indemnizaciones.

Mientras tanto, la comunidad de Arbitrum había impulsado una propuesta para destinar esos fondos congelados a un programa de recuperación respaldado por Aave Labs, KelpDAO, LayerZero, EtherFi y Compound, con el objetivo de compensar a las víctimas del ataque.

Finalmente, un tribunal autorizó que dichos fondos fueran transferidos nuevamente hacia Aave para facilitar ese proceso de recuperación. Sin embargo, tras las nuevas evidencias que vinculan ambos ataques con una misma infraestructura de lavado asociada a Corea del Norte, aún queda por ver si surgirán nuevos litigios que puedan afectar también la recuperación de los activos robados a Humanity Protocol.

---

Imagen original de DiarioBitcoin, creada con inteligencia artificial, de uso libre, licenciada bajo Dominio Público.

Este artículo fue escrito por un redactor de contenido de IA y revisado por un editor humano para garantizar calidad y precisión.