Los piratas informáticos vinculados al grupo TraderTraitor, de Corea del Norte, han blanqueado prácticamente la totalidad de los 220 millones de dólares en fondos no congelados robados durante el exploit del puente de Kelp DAO en abril de 2026, dando por terminado de facto los esfuerzos de recuperación directa. Los atacantes movieron los activos a través de una red compleja que incluyó THORChain, Wasabi CoinJoin, Tornado Cash y Umbra, dejando solo aproximadamente 1,7 millones de dólares rastreables en las carteras originales, según analistas on-chain. La operación de blanqueo siguió a una vulnerabilidad del puente LayerZero que derivó en unos 292 millones de dólares robados, con el Security Council de Arbitrum congelando 71 millones de dólares en ETH mientras que los 220 millones restantes permanecieron accesibles para los atacantes. El sofisticado movimiento de fondos demuestra las capacidades cada vez mayores de actores de amenazas respaldados por Estados para navegar múltiples redes blockchain y protocolos de privacidad. El incidente subraya vulnerabilidades de seguridad de puentes en curso mientras la industria cripto se enfrenta a una ola de importantes ataques a la infraestructura entre cadenas.
El grupo TraderTraitor blanqueó $220M a través de redes privadas multi-cadena
El exploit de Kelp DAO ocurrió en abril de 2026 y resultó en el robo de aproximadamente 292 millones de dólares mediante una vulnerabilidad del puente LayerZero. Tras el ataque, el Security Council de Arbitrum congeló aproximadamente 71 millones de dólares en ETH, pero los 220 millones restantes siguieron siendo accesibles para los atacantes.
De acuerdo con reportes de Arkham Intelligence y otros investigadores de blockchain, los hackers movieron los fondos a través de una compleja red de blanqueo que incluyó THORChain, Wasabi CoinJoin, Tornado Cash y Umbra. Ahora, los investigadores estiman que solo quedan 1,7 millones de dólares en las carteras originales.
Los datos on-chain muestran que los atacantes transfirieron más de 75.000 ETH a carteras recién creadas. Desde allí, los fondos se movieron a través de múltiples plataformas centradas en la privacidad y servicios entre cadenas. Los analistas dijeron que la operación combinó servicios de mezclado de Bitcoin con herramientas de privacidad de Ethereum, lo que volvió el seguimiento de transacciones significativamente más difícil.
El uso de THORChain atrajo atención particular, ya que el protocolo supuestamente procesó volúmenes inusualmente altos a medida que los activos robados se movían entre cadenas. Investigadores de seguridad vincularon el ataque a TraderTraitor, un grupo cibernauta norcoreano también conocido como UNC4899. El grupo ha estado previamente asociado con varios robos importantes de cripto.
Arbitrum congeló $71M en procedimientos legales
Los fondos congelados siguen siendo una posible fuente de recuperación. El congelamiento de Arbitrum bloqueó aproximadamente 71 millones de dólares en ETH poco después del ataque. Sin embargo, esos activos ahora están inmovilizados en procedimientos legales en curso.
Las familias que tienen sentencias por terrorismo contra Corea del Norte han presentado reclamaciones relacionadas con los fondos congelados. Como resultado, el resultado final sigue siendo incierto.
Kelp DAO completó la remediación de usuarios y migró a Chainlink CCIP
Kelp DAO completó su proceso de remediación de usuarios tras el exploit. El protocolo migró las operaciones de puente de rsETH a Chainlink CCIP y trabajó con socios de la industria para restaurar a los usuarios afectados.
El incidente ofrece lecciones importantes tanto para desarrolladores como para inversores. En los últimos meses, la industria cripto ha atravesado una ola de ataques importantes dirigidos a puentes, proveedores de infraestructura y protocolos DeFi. Los incidentes que involucraron a Radiant, Wormhole y Kelp DAO han expuesto debilidades críticas de seguridad.
Para desarrolladores, el ataque refuerza la necesidad de una seguridad de puentes más sólida, sistemas de validación multinivel y mejores herramientas de monitoreo. Para inversores, el exploit destaca los riesgos crecientes asociados con la infraestructura entre cadenas.
La creciente participación de grupos respaldados por Estados también genera preocupación sobre futuros esfuerzos de recuperación. Una vez que los activos robados se mueven a través de múltiples cadenas y servicios de privacidad, recuperar fondos se vuelve significativamente más difícil.
Preguntas frecuentes
¿Qué ocurrió en el exploit de Kelp DAO en abril de 2026?
El exploit de Kelp DAO ocurrió en abril de 2026 mediante una vulnerabilidad del puente LayerZero, lo que resultó en el robo de aproximadamente 292 millones de dólares. El Security Council de Arbitrum congeló aproximadamente 71 millones de dólares en ETH, mientras que los 220 millones restantes permanecieron accesibles para los atacantes identificados como el grupo TraderTraitor de Corea del Norte (también conocido como UNC4899).
¿Cómo blanquearon los hackers los fondos robados de Kelp DAO?
Los hackers movieron los fondos a través de una compleja red de blanqueo que incluyó THORChain, Wasabi CoinJoin, Tornado Cash y Umbra. Los datos on-chain muestran que los atacantes transfirieron más de 75.000 ETH a carteras recién creadas y combinaron servicios de mezclado de Bitcoin con herramientas de privacidad de Ethereum. Solo quedan aproximadamente 1,7 millones de dólares trazables en las carteras originales.
¿Cuál es el estado de los 71 millones congelados por Arbitrum?
Los 71 millones en ETH congelados por el Security Council de Arbitrum poco después del ataque siguen inmovilizados en procedimientos legales en curso. Las familias que tienen sentencias por terrorismo contra Corea del Norte han presentado reclamaciones relacionadas con los fondos congelados, y el resultado final sigue siendo incierto.
