Nota del editor: El 18 de abril, Kelp DAO sufrió un ataque y se robaron activos por valor de aproximadamente 292 millones de dólares. Entonces, en un sistema completamente abierto y en cadena, ¿cómo se «lavó» paso a paso este dinero hasta convertirse en activos circulantes?
Este artículo toma este incidente como punto de partida para desglosar una ruta altamente industrializada de lavado de criptoactivos: desde la preparación de infraestructura anónima previa al ataque, hasta el uso de Tornado Cash para cortar la asociación en cadena; desde el uso de Aave y Compound para hipotecar activos «tóxicos» y obtener liquidez limpia, hasta el uso de THORChain, puentes cross-chain y la estructura UTXO para lograr una amplificación exponencial de la dificultad de rastreo, finalizando con la integración en el sistema USDT de Tron y su posterior conversión a efectivo en el mundo real a través de redes over-the-counter (OTC).
En este proceso, no hay operaciones complejas de caja negra; casi cada paso se realiza «jugando según las reglas». Precisamente por ello, lo que revela esta ruta no es una vulnerabilidad puntual, sino la tensión estructural inherente al sistema DeFi bajo su apertura, composibilidad e incesurabilidad: cuando el diseño mismo del protocolo permite que existan estas operaciones, el llamado «recupero de fondos» deja de ser un problema técnico para convertirse en un problema de límites del sistema.
El incidente de Kelp DAO, por lo tanto, no es solo un accidente de seguridad, sino que se asemeja más a una prueba de estrés sobre la lógica operativa del mundo cripto: muestra cómo los hackers convierten tu dinero en su dinero, y también muestra por qué este sistema, en principio, tiene grandes dificultades para evitar que este proceso ocurra.
Como ya sabrá, el 18 de abril, un hacker norcoreano robó 292 millones de dólares de Kelp DAO. 5 días después, más de la mitad había desaparecido, fragmentada y dispersa en miles de carteras, convertida a través de protocolos que no se pueden pausar, y finalmente dirigida hacia un destino muy concreto.
Lo interesante reside en: cómo convertir 292 millones de dólares en activos cripto robados y totalmente rastreables, sin que nadie pueda impedirlo, en efectivo en los bolsillos de Pyongyang.
El propósito de este artículo es revelar por qué funciona el proceso completo moderno de lavado de criptoactivos, por qué estructuralmente no se puede impedir, y qué compra exactamente cada dólar una vez lavado.
Fase 1: Preparación (Horas antes del ataque)
El atacante no comenzó robando directamente. La estrategia del grupo Lazarus siempre comienza con la preparación de la infraestructura.
Aproximadamente 10 horas antes del ataque, se prefondearon 8 carteras nuevas a través de Tornado Cash, un mezclador que puede cortar la asociación entre la fuente y el destino de los fondos.
Cada cartera recibió 0.1 ETH, para pagar todas las tarifas Gas (comisiones) de las operaciones posteriores. Dado que los fondos de estas carteras provenían del mezclador, no tenían registros KYC de exchanges, ni historial de transacciones, y no se podían asociar a ninguna entidad conocida. Pizarras limpias.
En vísperas del ataque, el atacante inició 3 transferencias cross-chain desde la red principal de Ethereum hacia Avalanche y Arbitrum, con el claro objetivo de pre-depositar Gas en estas dos L2 y probar las operaciones de puente, asegurando que todo fuera fluido para transferencias de gran volumen.
Fase 2: Robo
Una cartera independiente de inicio del ataque (0x4966...575e) llamó a una función llamada lzReceive en el contrato LayerZero EndpointV2. Como los validadores habían sido engañados con éxito, esta llamada fue considerada un mensaje cross-chain legítimo. El contrato de puente de Kelp, Kelp DAO: RSETH_OFTAdapter (dirección en Etherscan: 0x85d...), liberó随之 116,500 rsETH a la cartera 0x8B1.
El 18% de todos los rsETH en circulación. Desaparecido en una sola llamada de función.
46 minutos después, a las 18:21 UTC, la multisig de emergencia de Kelp pausó el protocolo. A las 18:26 y 18:28 UTC, el atacante intentó operar dos veces más exactamente de la misma manera, intentando robar aproximadamente 40,000 rsETH adicionales cada vez (alrededor de 100 millones de dólares por transacción). Ambas se revertieron debido al corte de energía oportuno de Kelp. De no haber sido así, el total robado podría haber alcanzado los 500 millones de dólares.
Fase 3: Operaciones con Aave + Compound
rsETH es un token de representación (receipt token). Una vez que Kelp pausa el puente o incluye los tokens robados en una lista negra, su valor se reduce a cero inmediatamente. El atacante solo tenía unos minutos para convertirlos en activos que no se pudieran congelar. Kelp pausó 46 minutos después del robo, ya era demasiado tarde.
Vender 292 millones de dólares en tokens de restaking no líquidos directamente en el mercado abierto habría colapsado el precio más de un 30% en minutos. Por eso no optó por vender, sino que utilizó los protocolos de préstamo DeFi como herramienta de lavado, para actuar rápidamente.
La cartera receptora 0x8B1 transfirió los 116,500 rsETH robados a otras 7 carteras ramificadas. Cada ramificación procedió a entrar en Aave y Compound V3, depositó una parte de los rsETH como colateral y tomó préstamos de ETH.
Las posiciones acumuladas de las 7 ramificaciones fueron las siguientes:
· Colateral depositado: 89,567 rsETH
· Préstamos tomados: Aprox. 82,650 WETH + 821 wstETH,合计约合 190 millones de dólares en activos limpios y líquidos de Ethereum
· El factor de salud de cada ramificación se estableció entre 1.01 y 1.03, el límite absoluto permitido por el protocolo antes de la liquidación.
El atacante cambió estos 292 millones de dólares en rsETH, marcados y casi invendibles, por 190 millones de dólares en ETH. Cuando estos rsETH finalmente se marquen como casi sin valor (porque el puente de Kelp es insolvente y no puede canjearse), los depositantes en los protocolos de préstamo asumirán la pérdida.
Cuando el mercado se dio cuenta de que Aave tenía más de 200 millones en deuda incobrable, los usuarios retiraron sus fondos en pánico. Aave perdió 80 mil millones de dólares en TVL (valor total bloqueado) en 48 horas. El protocolo de préstamo DeFi más grande sufrió su primer pánico bancario real, y el detonante fue que un atacante lo usó exactamente como estaba diseñado.
Fase 4: Consolidación y Fragmentación de Fondos
Después de completar los préstamos en Aave/Compound, las 7 ramificaciones enviaron los ETH prestados a una cartera de consolidación de tercer nivel (0x5d3).
El clúster operativo completo mostró en este momento una estructura de tres capas clara:
1. Recepción: 0x8B1 (también fondeda via Tornado Cash), recibió los 116,500 rsETH robados originalmente.
2. Operación: 7 carteras ramificadas fondedas via Tornado Cash, ejecutaron las operaciones de Aave/Compound.
3. Consolidación: 0x5d3 reunificó aproximadamente 71,000 ETH de los fondos prestados, unificándolos para el proceso de lavado.
Los fondos se distribuyeron luego en dos cadenas:
· 75,700 ETH se quedaron en la red principal de Ethereum.
· 30,766 ETH en Arbitrum (aprox. 71 millones de dólares).
El comité de seguridad de Arbitrum votó para congelar esta parte de los activos en Arbitrum, transfiriendo 71 millones de dólares a una cartera controlada por gobernanza que solo puede desbloquearse mediante una posterior gobernanza.
Poco después de que ocurriera la congelación, el hacker transfirió inmediatamente los ETH restantes en mainnet y aceleró el proceso de lavado. A juzgar por estas acciones, claramente no esperaba que Arbitrum tomara tal medida.
Fase 5: Primera Ola de Lavado
Cuatro días después del ataque, 0x5d3 comenzó a vaciarse. Arkham rastreó 3 transferencias independientes en cuestión de horas.
El momento fue elegido deliberadamente: horario de negociación europeo del martes. Los investigadores estadounidenses aún descansaban, los departamentos de cumplimiento europeos estaban ocupados con los asuntos acumulados del lunes, y las exchanges asiáticas estaban cerca del cierre.
Luego, el patrón de transferencias comenzó a expandirse explosivamente. Cada destino de la primera ola inmediatamente se volvió a expandir: 0x62c7 envió a unas 60 carteras nuevas generadas, 0xD4B8 envió a otras 60. En horas, el limpio clúster de 10 carteras se expandió a más de 100 direcciones desechables, todas fondedas en paralelo, cada una con una cantidad lo suficientemente pequeña como para evadir la detección.
Lazarus ejecuta scripts de carteras HD (Hierarchical Deterministic): una sola semilla (seed phrase) puede derivar matemáticamente miles de direcciones nuevas en segundos,配合 un grupo de workers (Python + web3, ethers.js o sus propias herramientas internas) firmando y transmitiendo en paralelo todo el árbol de direcciones. Este código lo han estado iterando desde 2018.
Al final de esta fase, la cadena lineal y rastreable había desaparecido. El clúster operativo de 10 carteras explosionó en más de 100 fragmentos, y los fondos entraron en la vía de privacidad desde docenas de entradas independientes simultáneamente.
Fase 6: THORChain – La Máquina de Fuga
El punto de quiebre real ocurrió en THORChain.
THORChain es un protocolo descentralizado que permite el intercambio de activos nativos entre cadenas. Envías ETH desde Ethereum, y te devuelve BTC en la red Bitcoin.
Solo el 22 de abril, el volumen de intercambio de 24 horas de THORChain alcanzó los 460 millones de dólares. El volumen diario normal del protocolo es de aproximadamente 15 millones de dólares. Este único hackeo representó por sí solo 30 veces el uso normal del protocolo en un día.
En la misma ventana de 24 horas, el protocolo generó 494,000 dólares en ingresos, repartidos entre bonders (operadores de nodos), proveedores de liquidez, el fondo de desarrollo, integradores aliados y el fondo de marketing.
Mientras tanto, los fondos también fluyeron en paralelo a través de un conjunto de vías de privacidad más pequeñas pero complementarias:
· Umbra: Protocolo de direcciones stealth en Ethereum. Permite enviar fondos a direcciones desechables; solo el receptor puede calcular la dirección mediante una clave compartida. Los monitores en cadena no pueden conocer el destino real. Se rastreó una actividad inicial de unos 78,000 dólares aquí, luego la herramienta perdió el rastro.
· Chainflip: Otro DEX cross-chain, similar a THORChain.
· BitTorrent Chain: Una cadena lateral de bajo costo y baja regulación conectada a Tron.
· Tornado Cash: El mismo mezclador utilizado para el pre-fondeo inicial de Gas. El Departamento del Tesoro de EE. UU. ya lo incluyó en la lista de sanciones en 2022.
Cada capa de protocolo aumenta el costo de rastreo aproximadamente 10 veces. Después de 5 capas, las empresas forenses teóricamente aún pueden rastrear cada fragmento, pero el costo económico ya supera el valor recuperable.
Fase 7: Fragmentación UTXO de Bitcoin
Convertir ETH a BTC a través de THORChain es esencialmente convertir el dinero en confeti.
Ethereum utiliza un modelo de cuentas; tu saldo es un número adjunto a una dirección, simple y directo. Bitcoin es diferente, utiliza un modelo UTXO (Transacción de Salida No Gastada): cada UTXO es un bloque concreto de moneda, con un historial completo de transacciones. Cada vez que gastas bitcoin, estos bloques se dividen y recombinan, formando nuevos bloques.
Imagina romper un billete de 100 dólares en 87 pedazos, luego romper cada pedazo en otros 87, y repetir este ciclo 7 veces. Técnicamente, cada fragmento se puede rastrear hasta ese billete original. En la práctica, ningún equipo forense manual puede rastrear miles de cadenas en paralelo en tiempo real y armar el panorama completo con la suficiente rapidez para actuar.
Por lo tanto, THORChain logró dos cosas simultáneamente: trasladar los fondos más allá de cualquier frontera que las sanciones no puedan cruzar, y fragmentar los fondos en polvo imposible de rastrear.
Fase 8: Canal USDT de Tron
Después de pasar por Bitcoin y las capas de privacidad, los fondos se reunieron en el mismo destino final: USDT en Tron.
La mayoría piensa que el campo de batalla principal del lavado es BTC, esto es incorrecto. El verdadero campo de batalla principal es USDT en Tron. Los datos muestran que USDT-Tron lleva consistentemente el mayor volumen anual de transacciones de activos cripto ilegales, superando la suma de todas las demás cadenas.
En este flujo de fondos de Kelp, la ruta específica fue: desde BTC, cruzar un puente hacia Tron, canjear por USDT, y luego transferir múltiples veces entre direcciones de Tron. Cada salto en Tron tiene un coste muy bajo, por solo centavos se pueden agregar 10 capas más de fragmentación.
Fase 9: Salida – Cripto a Efectivo
El punto final de cada hackeo es que los fondos se convierten en efectivo fiduciario a través de una red específica y bien documentada de intermediarios humanos.
Un grupo de corredores over-the-counter (OTC) activos en China continental y el sudeste asiático reciben depósitos de USDT-Tron y liquidan en efectivo en moneda local. Estos corredores son esencialmente casas de cambio subterráneas sin licencia. Agregan flujos de fondos de múltiples clientes (cumplidores y no complidores), los compensan internamente (netting) y liquidan en fiduciario a través de redes de pago domésticas chinas (UnionPay), que operan completamente fuera del sistema SWIFT y del alcance de las sanciones occidentales.
Desde las cuentas controladas por estos corredores, los fondos fluyen hacia cuentas bancarias controladas por Corea del Norte, generalmente held in the name of shell companies registradas en Hong Kong, Macao o jurisdicciones terceras. Desde estas cuentas, los fondos se remiten a Pyongyang mediante liquidaciones informales al estilo Hawala, transporte de efectivo físico y compras a través de empresas pantalla.
El Consejo de Seguridad de la ONU, el FBI y el Departamento del Tesoro de EE. UU. han documentado independientemente el destino final de estos fondos. El programa de misiles balísticos de Corea del Norte, el desarrollo de armas nucleares y la evasión de sanciones internacionales dependen del sostenimiento continuo de este tipo de flujos de capital.
Un informe de la ONU de 2024 estima que los hackeos cripto representan aproximadamente el 50% de todos los ingresos en divisas extranjeras de Corea del Norte, convirtiéndolos en la principal fuente de financiación para su programa de armas, superando la suma de las exportaciones de carbón, ventas de armas y exportación de mano de obra.
[Título original]
