se ha convertido en un estudio de caso definitorio en el riesgo sistémico de DeFi. Aquí está la inteligencia ampliada sobre la operación de lavado, el colapso de liquidez de Aave y las fallas de seguridad específicas involucradas.
1. El Lavado: Una Clase Magistral en Velocidad Intercadena
El explotador, vinculado al Grupo Lazarus de Corea del Norte, ejecutó una estrategia de salida altamente eficiente después de acuñar 116,500 rsETH (aprox. $292M) de la nada a través de un ataque de falsificación de mensajes.
• THORChain como una Caja Negra: Dentro de las 36 horas posteriores al hackeo, los atacantes enrutarons casi 75,700 ETH ($175M) a través de THORChain, intercambiándolo directamente por Bitcoin Nativo. Al utilizar los nodos sin permiso y no custodiales de THORChain, lograron eludir las congelaciones de los intercambios centralizados (CEX) y mezclaron los fondos antes del rally de Bitcoin a $78,400.
• El "Tropiezo" de Arbitrum: La única recuperación significativa ocurrió el 21 de abril, cuando el Consejo de Seguridad de Arbitrum utilizó poderes de intervención de emergencia para congelar 30,766 ETH ($71M) en la red Arbitrum One. Esta fue una victoria "jurisdiccional": aunque el consejo podía "robar de vuelta" los fondos en su Capa 2, no tenía poder sobre los restantes $175M en la red principal de Ethereum.
• Capa de Privacidad: Pequeñas porciones del botín (aprox. $78,000) también fueron detectadas moviéndose a través del protocolo de privacidad Umbra para oscurecer aún más la pista digital.
2. La Crisis "Fantasma" de $16B de Aave
El TVL de Aave no solo cayó; experimentó un colapso estructural de liquidez. Aunque los contratos inteligentes principales de Aave permanecieron seguros, la gestión de riesgos del protocolo fue armada por el hacker.
• Mecánicas de Deuda Mala: El hacker depositó el rsETH no respaldado en Aave V3 como colateral para pedir prestados $190M en WETH y otros activos. Dado que el rsETH no tenía un valor real, Aave se quedó con una estimación de $196M a $230M en deuda mala una vez que se confirmó que el puente de KelpDAO había sido comprometido.
• La Trampa de Utilización al 100%: A medida que las ballenas e instituciones (incluyendo a Justin Sun) se apresuraron a retirar, los mercados de WETH y USDT alcanzaron una utilización del 100%. Esto significó que muchos depositantes regulares quedaron efectivamente atrapados, incapaces de retirar sus fondos porque los pools estaban completamente vacíos por el pánico.
• Vuelo a la Calidad: Más de $1.3B del capital retirado se rotó inmediatamente hacia SparkLend y otros protocolos de colateral "duro", señalando una enorme pérdida de fe en los Tokens de Restaking Líquido (LRTs) como colateral viable.
3. Seguridad del Puente: El "1-de-1" Punto Único de Fallo
El análisis posterior de Chainalysis y LayerZero Labs reveló que no fue un error de código, sino una toma de infraestructura.
• El Compromiso de RPC: El Grupo Lazarus no hackeó los contratos inteligentes. En cambio, comprometió los nodos RPC internos utilizados por la Red de Verificadores Descentralizados (DVN) de LayerZero. Alimentaron datos falsificados al verificador mientras lanzaban simultáneamente un ataque DDoS en nodos externos para evitar que "corregieran" la mentira.
• La Configuración 1-de-1: Una importante disputa pública estalló entre KelpDAO y LayerZero. LayerZero reveló que KelpDAO había utilizado una configuración DVN 1-de-1—lo que significa que solo un verificador necesitaba ser engañado para liberar los fondos del puente.
• Sofisticación de Lazarus: El malware utilizado en los nodos RPC fue diseñado para autodestruirse y borrar todos los registros/binarios una vez que se liberaron los $292M, dejando a los investigadores con una escena del crimen digital "fría".
La Conclusión para 2026
Este evento confirma que, aunque el código en cadena se está volviendo más seguro, la infraestructura fuera de la cadena (RPCs/Oráculos) y las configuraciones de verificadores entre cadenas son ahora los principales objetivos. La "Contagión Kelp" ha forzado un cambio masivo en toda la industria hacia DVNs Multi-Sig y LTVs más bajos para activos re-stakeados. 🛡️🌉📉
#KelpDAO #Aave #LazarusGroup #DefiExploits #SeguridadDelPuente #Arbitrum #THORChain
Operación de Lavado Completo
El explotador de KelpDAO intercambió casi todos los 75,700 ETH robados (valorados en $175M) por Bitcoin a través de THORChain en solo 36 horas, reduciendo la recuperación solo a la porción congelada de Arbitrum.
La Contagión DeFi se Extiende
El TVL de Aave colapsó de $45.8B a $29.6B, perdiendo $16.2B en depósitos a medida que el exploit creó $230M en deuda mala y provocó retiros en pánico a través de los protocolos sin exposición directa.
Crisis de Seguridad del Puente
LayerZero atribuyó el ataque al Grupo Lazarus de Corea del Norte, destacando que los puentes entre cadenas siguen siendo el eslabón más débil, con las pérdidas por exploits de 2026 igualando los niveles de 2025.$ETH
