Notorios piratas informáticos lavan fondos robados de Kelp DAO y ocultan un rastro de 220 millones de dólares en anonimizadores de criptomonedas

Los ciberdelincuentes asociados con la operación TraderTraitor de Corea del Norte han lavado con éxito prácticamente todos los 220 millones de dólares en criptomonedas accesibles robados durante la violación de seguridad de Kelp DAO en abril de 2026. Según datos de inteligencia blockchain de Arkham Intelligence, solo se pueden rastrear solo 1,7 millones de dólares hasta las carteras de criptomonedas originales de los atacantes. El hacker de Kelp DAO ha lavado casi todos los 220 millones de dólares en fondos no congelados, cerrando la ventana de recuperación Según The Defiant, los datos de seguimiento en cadena muestran que los piratas informáticos detrás del exploit del puente Kelp DAO, identificados como el grupo de amenazas norcoreano TraderTraitor, han lavado… pic.twitter.com/UlCj44BTa4 - Wu Blockchain (@WuBlockchain) 2 de junio de 2026 Se produjo el compromiso de seguridad el 18 de abril de 2026, cuando actores maliciosos extrajeron 116,500 tokens rsETH explotando una debilidad en la configuración del puente LayerZero de Kelp DAO. Las pérdidas combinadas ascendieron a aproximadamente entre 292 y 293 millones de dólares, lo que contribuyó a los asombrosos 630 millones de dólares en incidentes de robo de criptomonedas de abril. El proceso de lavado de dinero se desarrolló en dos fases principales. Inicialmente, los perpetradores convirtieron los activos robados a Bitcoin utilizando el servicio de volteo Wasabi CoinJoin, y posteriormente los convirtieron nuevamente a Ethereum antes de canalizarlos a través de Tornado Cash. THORChain experimentó volúmenes de transacciones anormalmente elevados durante este período. La criptomoneda robada también pasó por Umbra, un protocolo diseñado para transacciones anónimas. Este enfoque de múltiples capas que combina herramientas de ofuscación de Bitcoin con mecanismos de privacidad de Ethereum creó obstáculos sustanciales para los investigadores forenses que intentaban seguir el rastro del dinero. Los análisis forenses de Blockchain revelan que los perpetradores rápidamente movieron más de 75,000 ETH a billeteras recién generadas inmediatamente después de la violación de seguridad. Posteriormente, estas tenencias se fragmentaron y distribuyeron en numerosas redes blockchain y servicios de anonimización. Los investigadores de ciberseguridad atribuyeron el ataque a TraderTraitor, identificado alternativamente como UNC4899. Este actor de amenazas patrocinado por el estado de Corea del Norte ha estado implicado en numerosos atracos de criptomonedas de alto perfil en los últimos años. LayerZero emitió un comunicado el 20 de abril aclarando que la vulnerabilidad se originó a partir de opciones de implementación específicas de Kelp DAO. El protocolo había configurado un único DVN LayerZero como su vía de verificación exclusiva, contradiciendo las recomendaciones de seguridad establecidas contra tales configuraciones. Toda la operación de lavado concluyó en aproximadamente seis semanas. Los analistas de seguridad indican que la oportunidad de recuperar los fondos disponibles prácticamente ha expirado. El Consejo de Seguridad de Arbitrum implementó una congelación de emergencia de aproximadamente $71 millones en ETH el 21 de abril. Tanto una directiva de un tribunal federal como un voto de gobernanza comunitaria autorizaron la transferencia de estos activos a una billetera multifirma administrada por Aave y designada para compensación a las víctimas de rsETH. Sin embargo, las familias que recibieron sentencias judiciales contra Corea del Norte por casos relacionados con el terrorismo han presentado demandas contrapuestas contra estos activos congelados. Se programó una audiencia judicial para determinar la propiedad legítima para el viernes en Nueva York. La resolución de estos procedimientos judiciales sigue siendo incierta. Los 71 millones de dólares en criptomonedas congeladas constituyen ahora la única vía viable para la recuperación directa de fondos. Las estadísticas de robo de criptomonedas mostraron una mejora espectacular en mayo, cayendo a 68,3 millones de dólares, lo que representa una reducción de casi el 90 % con respecto a las cifras de abril, según los datos de CertiK. Aproximadamente $9,4 millones fueron recuperados exitosamente o devueltos voluntariamente a lo largo de mayo. A pesar de esta mejora, la violación de Kelp DAO provocó una reevaluación de seguridad generalizada en todo el ecosistema DeFi. Tres semanas después del exploit, tanto Solv Protocol como Tydro completaron las migraciones a Chainlink CCIP. Kelp DAO también hizo la transición de sus operaciones puente rsETH a Chainlink CCIP, abandonando LayerZero. Kelp DAO completó con éxito su programa de compensación de usuarios. La distribución final de 20.373,7 tokens rsETH se transmitió al contrato inteligente LayerZero como parte de una iniciativa de restitución de cinco semanas, según lo documentado por Cointelegraph. Sin embargo, la propia criptomoneda robada se ha desvanecido predominantemente en una sofisticada infraestructura de lavado entre cadenas que los investigadores caracterizan como extremadamente difícil de penetrar.