Editorial: El 18 de abril, Kelp DAO sufrió un ataque y se robaron activos por aproximadamente 292 millones de dólares. Entonces, ¿cómo se «lavaron» paso a paso estos fondos en un sistema en cadena completamente abierto para convertirlos en activos líquidos?
Este artículo utiliza este evento como punto de entrada para desglosar una ruta de lavado de criptomonedas altamente industrializada: desde la preparación de infraestructura anónima antes del ataque, hasta el uso de Tornado Cash para cortar las conexiones en la cadena; desde el aprovechamiento de Aave y Compound para抵押ar «activos tóxicos» y obtener liquidez limpia, hasta la implementación de THORChain, puentes cruzados y estructuras UTXO para multiplicar exponencialmente la dificultad de rastreo, finalmente canalizando los fondos hacia el sistema USDT en Tron y convirtiéndolos en efectivo del mundo real a través de redes OTC.
En este proceso, no hay operaciones complejas en cajas negras; casi cada paso se realiza «siguiendo las reglas». Precisamente por ello, esta vía revela no una vulnerabilidad puntual, sino la tensión estructural del sistema DeFi bajo su apertura, componibilidad e inembargabilidad: cuando el diseño del protocolo permite inherentemente estas operaciones, la «recuperación de fondos» ya no es un problema técnico, sino un problema de límites del sistema.
El evento de Kelp DAO no fue solo una brecha de seguridad, sino más bien una prueba de estrés sobre la lógica de funcionamiento del mundo cripto: mostró cómo los hackers pueden convertir tu dinero en su dinero, y también por qué, en principio, es difícil impedir que este proceso ocurra.
Como sabes, el 18 de abril, un hacker norcoreano robó 292 millones de dólares a Kelp DAO. Cinco días después, más de la mitad ya había desaparecido, fragmentada en miles de billeteras, intercambiada a través de protocolos que no se pueden pausar, y finalmente dirigida a un destino muy específico.
Lo interesante es cómo convertir 292 millones de dólares en activos criptográficos robados y verificables en efectivo en el bolsillo de Pyongyang, sin que nadie pueda detenerlo.
El propósito de este artículo es revelar por qué funciona el proceso completo de lavado de criptomonedas moderno, por qué es estructuralmente imposible de detener, y qué se compra realmente por cada dólar lavado.
Fase uno: Preparación (varias horas antes del ataque)
Los atacantes no comenzaron con un robo directo. El enfoque del grupo Lazarus siempre comienza con la preparación de la infraestructura.
Aproximadamente 10 horas antes del ataque, 8 billeteras completamente nuevas fueron prefinanciadas a través de Tornado Cash, un mezclador que rompe la conexión entre el origen y el destino de los fondos.
Cada billetera recibió 0.1 ETH para cubrir las tarifas de gas de todas las operaciones posteriores. Debido a que los fondos de estas billeteras provienen de un mezclador, no tienen registros de KYC de intercambio ni historial de transacciones previo, y no pueden vincularse a ningún sujeto conocido. Pizarra limpia.
Antes del ataque, el atacante realizó tres transferencias cruzadas desde la red principal de Ethereum hacia Avalanche y Arbitrum: el objetivo era claramente predepositar gas en estos dos L2 y probar las operaciones de puente para asegurar que las transferencias de gran volumen se realizaran sin problemas.
Fase dos: Robo
Una billetera de ataque independiente (0x4966…575e) llamó a la función lzReceive en el contrato LayerZero EndpointV2. Debido a que el validador fue engañado con éxito, esta llamada se consideró un mensaje intercadena legítimo. El contrato de puente cruzado de Kelp, Kelp DAO: RSETH_OFTAdapter (dirección Etherscan: 0x85d…), liberó inmediatamente 116.500 rsETH a 0x8B1.
El 18% de todos los rsETH en circulación. Una sola llamada a la función, desaparecidos.
46 minutos después, a las 18:21 UTC, la multifactura de emergencia de Kelp suspendió el protocolo. A las 18:26 y 18:28 UTC, el atacante intentó nuevamente dos veces con el mismo método, tratando de robar aproximadamente 40.000 rsETH adicionales en cada intento (aproximadamente 100 millones de dólares por transacción). Ambos intentos fueron revertidos gracias a la desconexión oportuna de Kelp. De no haber sido así, el monto total robado podría haber alcanzado casi 500 millones de dólares.
Fase tres: Operaciones de Aave + Compound
rsETH es un token de credencial cuyo valor se reduce a cero una vez que Kelp suspende el puente cruzado o bloquea los tokens robados. Los atacantes tienen solo unos minutos para convertirlos en activos que no puedan ser congelados. Kelp suspendió la operación 46 minutos después del robo: ya era demasiado tarde.
Vender directamente en el mercado abierto 292 millones de dólares en tokens de restaking no líquidos haría caer el precio más del 30% en cuestión de minutos. Por lo tanto, en lugar de vender, utilizó protocolos de préstamo DeFi como herramienta de lavado de dinero para salir rápidamente.
La billetera receptora 0x8B1 distribuyó 116.500 rsETH robadas entre otras 7 billeteras secundarias. Cada billetera secundaria ingresó posteriormente a Aave y Compound V3, depositando una parte de los rsETH como garantía y solicitando préstamos en ETH.
La posición acumulada de los 7 segmentos es la siguiente:
· Depositar garantía: 89,567 rsETH
· Prestamo: aproximadamente 82.650 WETH + 821 wstETH, totalizando aproximadamente 190 millones de dólares en activos de Ethereum limpios y líquidos
· El coeficiente de salud de cada rama se establece en 1.01 a 1.03: el límite absoluto permitido por el protocolo antes del liquidación
El atacante intercambió 292 millones de dólares en rsETH, ya marcados y casi imposibles de convertir, por 190 millones de dólares en ETH. Cuando finalmente se marcó este rsETH como casi sin valor (debido a la insolvencia del puente de Kelp y la imposibilidad de rescate), los depositantes del protocolo de préstamo asumieron las pérdidas.
A medida que el mercado se dio cuenta de que Aave tenía más de 200 millones de dólares en préstamos morosos, los usuarios retiraron sus fondos en pánico. Aave perdió 8.000 millones de dólares en TVL (total value locked) en 48 horas. El mayor protocolo de préstamo DeFi sufrió su primera verdadera corrida bancaria: el detonante fue un atacante que utilizó el protocolo exactamente como estaba diseñado.
Fase cuatro: Integración y división de fondos
Después de completar el préstamo de Aave/Compound, 7 ramas enviaron el ETH prestado a la billetera de integración de nivel tres (0x5d3).
El conjunto completo de operaciones presenta en este momento una estructura clara de tres capas:
1. Recepción: 0x8B1 (financiado igualmente a través de Tornado Cash), recepción de los 116.500 rsETH originales robados
2. Operación: 7 billeteras secundarias financiadas a través de Tornado Cash realizan operaciones en Aave/Compound
3. Integración: 0x5d3 vuelve a concentrar aproximadamente 71.000 ETH de fondos prestados, uniéndolos en el proceso de lavado de dinero
Los fondos luego se distribuyen en dos cadenas:
·75,700 ETH permanecen en la red principal de Ethereum
·30,766 ETH en Arbitrum (aproximadamente 71 millones de dólares)
El comité de seguridad de Arbitrum votó para congelar estos activos en Arbitrum, transfiriendo 71 millones de dólares a una billetera controlada por gobernanza que solo puede ser desbloqueada mediante gobernanza futura.
Poco después de la congelación, el hacker transfirió los ETH restantes en la red principal y aceleró el proceso de lavado de dinero. Estas acciones indican claramente que no esperaba que Arbitrum tomara tal medida.
Fase cinco: Primera ola de blanqueo de capitales
Cuatro días después del ataque, 0x5d3 comenzó a vaciar. Arkham rastreó tres transferencias independientes en cuestión de horas.
El momento ha sido cuidadosamente elegido: el horario de trading europeo del martes. Los investigadores estadounidenses aún están de descanso, los departamentos de cumplimiento europeos están gestionando la acumulación del lunes, y los intercambios asiáticos están cerca de cerrar.
Luego, el modelo de transferencia comenzó a expandirse exponencialmente. Cada destino de la primera ola se difundió inmediatamente nuevamente: 0x62c7 envió fondos a aproximadamente 60 billeteras recién generadas, y 0xD4B8 a otras 60 aproximadamente. En cuestión de horas, el original grupo limpio de 10 billeteras se expandió a más de 100 direcciones de un solo uso, todas financiadas en paralelo, con cada dirección recibiendo cantidades lo suficientemente pequeñas como para evadir la detección.
Lazarus ejecuta un script de billetera HD: una sola frase de recuperación puede derivar matemáticamente miles de direcciones nuevas en cuestión de segundos, junto con un conjunto de trabajadores (Python + web3, ethers.js o sus propias herramientas internas) para firmar y transmitir paralelamente todo el árbol de direcciones. Este código lo han estado iterando desde 2018.
Al final de esta fase, la cadena lineal y rastreable ha desaparecido. El cluster de operaciones de 10 carteras se ha dividido en más de 100 carteras fragmentadas, y los fondos han ingresado simultáneamente a la pista de privacidad a través de decenas de entradas independientes.
Fase seis: THORChain — la máquina de fuga
El verdadero punto de ruptura ocurre en THORChain.
THORChain es un protocolo descentralizado que permite el intercambio de activos nativos entre cadenas. Envías ETH en Ethereum y recibes BTC en la red de Bitcoin.
Solo el 22 de abril, el volumen de intercambio de THORChain en 24 horas alcanzó 460 millones de dólares. El volumen diario promedio normal del protocolo es de aproximadamente 15 millones de dólares. Este ataque hacker representó 30 veces el volumen normal diario del protocolo.
En la misma ventana de 24 horas, el protocolo generó ingresos de $494,000, distribuidos entre bonder (operadores de nodos), proveedores de liquidez, fondo de desarrollo, integradores de alianzas y fondo de marketing.
Al mismo tiempo, los fondos también fluyen en paralelo a través de un conjunto de pistas de privacidad más pequeñas pero complementarias:
· Umbra: Protocolo de direcciones ocultas en Ethereum. Permite enviar fondos a direcciones de un solo uso, que solo el receptor puede calcular mediante una clave compartida. Los observadores en la cadena no pueden determinar el destino real. Se rastrearon aproximadamente 78.000 dólares en actividad inicial, tras la cual la herramienta perdió la pista.
·Chainflip: otro DEX cruzado, con un modelo similar al de THORChain.
·BitTorrent Chain: una sidechain de bajo costo y baja regulación conectada a Tron.
· Tornado Cash: el mismo mezclador que durante la recarga inicial de Gas. El Departamento del Tesoro de EE. UU. lo incluyó en la lista de sanciones en 2022.
Cada capa de protocolo aumenta aproximadamente el costo de rastreo en 10 veces. Después de 5 capas, las empresas de investigación forense aún pueden rastrear cada fragmento teóricamente, pero el costo económico supera el valor recuperable.
Fase siete: Fragmentación de UTXO de Bitcoin
Convertir ETH a BTC a través de THORChain es esencialmente convertir tu dinero en papel picado.
Ethereum utiliza un modelo de cuenta, donde tu saldo es un número asociado a una dirección, simple y directo. Bitcoin, en cambio, utiliza un modelo UTXO (salida de transacción no gastada): cada UTXO es un bloque específico de moneda con un historial de transacciones completo. Cada vez que gastas bitcoins, estos bloques se dividen y recombinan para formar nuevos bloques.
Imagina rasgar un billete de 100 dólares en 87 pedazos, y luego rasgar cada pedazo en 87 más, repitiendo este proceso 7 veces. Técnicamente, cada fragmento puede rastrearse hasta el billete original. En la práctica, ningún equipo de investigación forense puede rastrear en tiempo real miles de cadenas paralelas y reunir la imagen completa lo suficientemente rápido como para actuar.
Por lo tanto, THORChain logró dos cosas al mismo tiempo: llevar fondos más allá de fronteras que ninguna sanción puede cruzar, y fragmentar los fondos en polvo imposible de rastrear.
Fase ocho: Pista Tron USDT
Después de pasar por Bitcoin y la capa de privacidad, los fondos convergen nuevamente en el mismo destino: USDT en Tron.
La mayoría de las personas creen que el principal escenario para el lavado de dinero es el BTC, lo cual es incorrecto. El verdadero escenario principal es el USDT en Tron. Los datos muestran que el volumen anual de transacciones de activos criptográficos ilegales en USDT-Tron lidera constantemente, superando la suma de todas las demás cadenas.
En este flujo de fondos de Kelp, la ruta específica es: transferir BTC a través de un puente hacia Tron, intercambiarlo por USDT y realizar múltiples transferencias entre direcciones de Tron. Cada salto en Tron tiene un costo extremadamente bajo, solo unos centavos, lo que permite añadir otras 10 capas de fragmentación.
Fase nueve: Retiro: Cripto a efectivo
En cada ataque informático, los fondos se convierten en efectivo fiduciario a través de una red específica y documentada de intermediarios humanos.
Un grupo de corredores de comercio extrabursátil (OTC) activos en China continental y el sudeste asiático reciben depósitos de USDT-Tron y liquidan en efectivo en moneda local. Estos corredores son esencialmente casas de cambio ilegales sin licencia. Agrupan flujos de fondos de múltiples clientes (cumplidores y no cumplidores), realizan compensaciones internas y liquidan en moneda fiduciaria a través de redes de pago domésticas chinas (UnionPay), que operan completamente fuera del sistema SWIFT y del alcance de las sanciones occidentales.
Desde cuentas controladas por estos corredores, los fondos fluyen hacia cuentas bancarias controladas por Corea del Norte, generalmente mantenidas en nombre de empresas pantalla registradas en Hong Kong, Macao o jurisdicciones terceras. Desde estas cuentas, los fondos se transfieren de regreso a Pyongyang mediante sistemas informales de liquidación tipo hawala, transferencias físicas de efectivo y la adquisición de empresas fachada.
El Consejo de Seguridad de las Naciones Unidas, el FBI y el Departamento del Tesoro de Estados Unidos han registrado independientemente el destino final de estos fondos. El programa de misiles balísticos de Corea del Norte, el desarrollo de armas nucleares y la evasión de sanciones internacionales dependen del apoyo continuo de estos flujos de fondos.
According to a 2024 United Nations report, crypto hacks account for approximately 50% of North Korea's entire foreign exchange earnings, making them the primary funding source for North Korea's weapons programs—exceeding the combined total of coal exports, arms sales, and labor exports.
[原文标题]