THORChain procesó 1.200 millones de dólares robados de Bybit por el Grupo Lazarus y cobró 5 millones en comisiones. Se negó a devolverlas. Tres validadores votaron para detener el trading de ETH — cuatro lo revertieron en 30 minutos. El desarrollador principal dimitió. El hacker de KelpDAO convirtió otros 175 millones en Bitcoin a través del mismo protocolo. THORChain no ha sido hackeado — funciona exactamente como fue diseñado. Y esa es la pregunta más incómoda de DeFi: ¿puede un protocolo descentralizado ser cómplice si se niega a censurar fondos robados por un estado-nación?
Este artículo analiza cómo THORChain se ha convertido en el principal rail de lavado de Lazarus, por qué sus validadores se negaron a actuar, qué significó la dimisión de Pluto, y por qué este caso define el futuro de la resistencia a la censura en DeFi.
Aviso editorial: este artículo es informativo y no constituye asesoramiento financiero ni legal. THORChain es un protocolo descentralizado — no tiene empresa detrás ni CEO que responda. La resistencia a la censura es una propiedad de diseño, no una decisión humana puntual. Las implicaciones legales para los validadores y usuarios están sin resolver. Datos de abril de 2026.
¿Qué es THORChain y por qué Lazarus lo eligió?
THORChain no es un bridge ni un mixer. Es un protocolo de liquidez descentralizado que permite swaps cross-chain nativos — ETH real por BTC real, sin tokens wrapeados, sin custodio intermediario, sin KYC. La diferencia técnica importa: un bridge como Wormhole emite un token sintético (wETH en Solana) respaldado por fondos custodiados. Si el custodio congela la reserva, el token sintético pierde su valor. THORChain no funciona así.
El protocolo usa pools de liquidez bilaterales: cada pool contiene el activo nativo (BTC, ETH, AVAX) emparejado con RUNE, el token nativo de la red. Los proveedores de liquidez (LPs) depositan activos reales en ambos lados del pool. Cuando un usuario hace un swap de ETH a BTC, el protocolo ejecuta dos operaciones internas: ETH → RUNE en un pool, RUNE → BTC en otro. El resultado es BTC nativo en la cadena Bitcoin — no un token que alguien pueda congelar.
Para Lazarus, esta arquitectura es perfecta: una vez que el ETH robado se convierte en BTC nativo, ninguna entidad — ni Tether, ni Circle, ni ningún exchange — puede congelar esos fondos. Un UTXO de Bitcoin no tiene emisor centralizado. Es como convertir billetes marcados en lingotes de oro fundidos: el rastro se difumina en el momento del swap.
THORChain tiene ~120 nodos validadores que procesan transacciones según las reglas del protocolo. No revisan el origen de los fondos. No tienen función de compliance. El sistema fue diseñado explícitamente para no discriminar — y eso es exactamente lo que Lazarus necesitaba.
¿Cómo usó Lazarus THORChain para lavar 1.200 millones de Bybit?
El 21 de febrero de 2025, el Grupo Lazarus robó 1.460 millones de dólares de Bybit — el mayor hack cripto de la historia. El 85 % de los fondos se lavaron a través de THORChain.
La operación fue sistemática: Lazarus fraccionó los fondos en múltiples wallets, ejecutó swaps de ETH a BTC en lotes para no agotar la liquidez del pool, y distribuyó el BTC resultante en cientos de direcciones. En una semana, 605 millones pasaron por THORChain. En total, más de 1.200 millones.
THORChain cobró ~5 millones de dólares en comisiones de swap. Esas comisiones se distribuyeron automáticamente entre los proveedores de liquidez (LPs) y los nodos validadores — las personas que aportan capital y procesan transacciones. No hay tesorero, no hay cuenta corporativa: los fees fluyen directamente a los participantes del protocolo.
Cuando la comunidad propuso devolver las comisiones generadas por Lazarus, la propuesta fracasó. El argumento técnico: no es posible separar qué porción de los fees de un LP provino de swaps de Lazarus versus swaps legítimos. El argumento filosófico: devolver fees crea un precedente de censura retroactiva. Si hoy devuelves porque el FBI lo pide, mañana devuelves porque China lo exige.
¿Por qué los validadores votaron para NO censurar?
El 26 de febrero de 2025 — cinco días después del hack — tres validadores de THORChain votaron para pausar el trading de ETH en la red y bloquear los flujos de Lazarus. Cuatro validadores votaron en contra. La pausa se revirtió en 30 minutos.
El argumento de los que votaron NO:
- "THORChain fue construido a imagen de Bitcoin — descentralizado y resistente a la censura." Si censuras hoy por Lazarus, mañana censuras por orden de un gobierno. El precedente destruye la tesis.
- "No somos jueces." Los validadores procesan transacciones según las reglas del protocolo. No tienen la función de decidir qué transacciones son legítimas. Si el código permite el swap, el swap se ejecuta.
- "Si censuramos, los usuarios legítimos sufren." Pausar ETH trading afecta a todos — no solo a Lazarus. Miles de usuarios con swaps legítimos quedan bloqueados.
El argumento de los que votaron SÍ:
- "Estamos facilitando que un estado-nación financie armas de destrucción masiva." El 40 % del programa de WMD de Corea del Norte se financia con cripto robado.
- "La resistencia a la censura no significa complicidad activa." Hay diferencia entre no poder censurar (Bitcoin) y poder hacerlo pero negarse (THORChain tiene mecanismo de pausa — simplemente eligió no usarlo).
¿Por qué los desarrolladores de THORChain están abandonando el proyecto?
Pluto, el desarrollador principal no oficial de THORChain, anunció su dimisión inmediatamente después de la reversión del voto. Su mensaje fue claro: construyó THORChain para ser resistente a la censura, no para ser la infraestructura de lavado de un estado-nación. TCB, otro desarrollador central, indicó que también se iría si no se implementaban medidas contra flujos ilícitos.
La crisis reveló una fractura que va más allá de THORChain. Los desarrolladores cypherpunk que diseñaron estos protocolos tenían una visión: dinero libre de control estatal, privacidad financiera como derecho, resistencia a la censura como principio. Pero cuando ese principio se materializa en 1.200 millones lavados para el programa nuclear de Corea del Norte, la abstracción se convierte en consecuencia concreta.
El éxodo de desarrolladores tiene una implicación práctica: las personas que mantienen el código, que corrigen bugs, que diseñan las actualizaciones de seguridad — están abandonando el proyecto. THORChain funciona con ~120 nodos, pero el código lo mantienen unas pocas decenas de desarrolladores. Si los más experimentados se van, el protocolo pierde capacidad técnica mientras procesa volúmenes récord. Es una paradoja: el éxito comercial (800 millones de volumen del hack de KelpDAO) coincide con el vaciamiento técnico del proyecto.
¿Por qué el hacker de KelpDAO eligió THORChain para convertir 175 M$ en Bitcoin?
Sí. A partir del 21 de abril de 2026, el atacante de KelpDAO convirtió ~75.700 ETH (~175 millones de dólares) en Bitcoin a través de THORChain. Esta actividad generó 800 millones en volumen de trading para el protocolo.
La secuencia fue: Arbitrum congeló 30.766 ETH (~71 millones) en una wallet del atacante. El atacante respondió moviendo el resto — todo lo que Arbitrum no pudo congelar — a Bitcoin vía THORChain. Una vez en BTC, los fondos son prácticamente irrecuperables: Bitcoin no tiene función de congelación, no hay emisor centralizado, y los swaps a Monero vía THORChain añadirían una capa adicional de privacidad.
El patrón de Lazarus en 2025-2026:
| Hack | Monto | Fecha | Lavado vía THORChain |
|---|---|---|---|
| Bybit | 1.460 M$ | Feb 2025 | ~1.200 M$ (85 %). THORChain cobró ~5 M$ en fees |
| Drift Protocol | 285 M$ | Abr 2026 | Parcial (USDC → ETH → puentes) |
| KelpDAO | 292 M$ | Abr 2026 | ~175 M$ en ETH → BTC. 800 M$ en volumen generado |
THORChain se ha convertido en la herramienta de lavado preferida de Lazarus — no porque esté comprometido, sino porque funciona exactamente como promete: swaps sin permiso, sin KYC, sin intermediario que pueda decir "no".
¿Cómo manejan otros DEXs las direcciones sancionadas?
THORChain no es el único DEX que ha enfrentado la pregunta de la censura. Pero sí es el único que votó activamente NO censurar después de identificar flujos ilícitos de un estado-nación.
| Protocolo | Mecanismo de filtrado | Nivel de censura | Resultado |
|---|---|---|---|
| Uniswap | Frontend bloquea wallets OFAC vía TRM Labs | Solo interfaz web — los contratos siguen abiertos | Censura cosmética: cualquiera puede usar los contratos directamente o un frontend alternativo |
| 1inch | Geo-blocking + lista OFAC en API | Interfaz + API restringidas | Acceso directo al contrato sigue disponible |
| dYdX | Geo-blocking por jurisdicción (US, UK, Canadá) | Frontend + API | Bloqueo geográfico, no por wallet sancionada |
| THORChain | Ninguno — mecanismo de pausa existe pero validadores votaron no usarlo | Cero censura a nivel de protocolo ni de interfaz | 1.400 M$ de Lazarus procesados |
La diferencia clave: Uniswap, 1inch y dYdX implementaron censura a nivel de frontend — la capa que los usuarios ven — mientras mantienen los contratos inteligentes abiertos. Es un compromiso pragmático: cumplen formalmente con OFAC sin alterar el protocolo subyacente. Un usuario técnico puede saltarse el bloqueo usando el contrato directamente, pero la mayoría no lo hace.
THORChain rechazó incluso esa censura cosmética. Y hay un argumento técnico legítimo: en THORChain, los swaps cross-chain no pasan por un frontend web controlado por una empresa. Los usuarios interactúan con la red de nodos directamente a través de wallets como THORSwap. El protocolo no tiene una entidad que pueda ser obligada a implementar filtros OFAC — o al menos, eso argumentan sus defensores.
¿Qué riesgo legal enfrentan los validadores de THORChain?
El precedente más relevante es Tornado Cash. En agosto de 2022, OFAC sancionó a Tornado Cash — un mixer de Ethereum — por facilitar el lavado de 7.000 millones de dólares, incluyendo fondos de Lazarus. Alexey Pertsev, uno de los desarrolladores, fue condenado en mayo de 2024 por un tribunal holandés a 64 meses de prisión por lavado de dinero.
La diferencia entre Tornado Cash y THORChain es significativa — pero no necesariamente favorable para THORChain:
- Tornado Cash no tenía mecanismo de gobernanza activo — era un contrato inmutable. Los validadores de THORChain sí tienen capacidad de actuar y eligieron no hacerlo.
- Los nodos de THORChain reciben compensación directa — cobran fees por cada swap, incluyendo los de Lazarus. Eso establece un beneficio económico por facilitar transacciones ilícitas.
- OFAC ya ha establecido que los protocolos DeFi pueden ser sancionados — el argumento de "es solo código" perdió fuerza legal tras la sentencia de Pertsev.
Si OFAC decide sancionar a THORChain, cada operador de nodo identificable se convierte en objetivo legal. La CFTC ya quiere regular Hyperliquid — un protocolo que no ha lavado nada. ¿Cuánto tardará en mirar a THORChain, que ha procesado 1.400 millones en fondos de un grupo que el FBI ha identificado públicamente?
¿Es THORChain cómplice o es simplemente código?
Esta es la pregunta que nadie quiere responder — porque la respuesta tiene implicaciones para todo DeFi.
Si THORChain es "solo código", entonces no puede ser cómplice. Un router de internet no es cómplice cuando un criminal envía un email. Una carretera no es cómplice cuando un ladrón escapa en coche. El código no tiene intención. Los validadores ejecutan reglas definidas por el protocolo.
Pero THORChain NO es solo código. Tiene un mecanismo de pausa. Los validadores pueden votar para detener el trading de un activo. Lo hicieron — y eligieron no hacerlo. Eso no es automatismo: es una decisión humana dentro de una estructura de gobernanza. Si puedes actuar y decides no hacerlo, la pregunta de complicidad es legítima.
La analogía más precisa no es una carretera — es una empresa de transferencias que ve la transacción marcada como "fondos robados por estado-nación" en su sistema y decide procesarla igualmente porque su política dice "procesamos todo sin preguntar". En TradFi, eso se llama incumplimiento de AML. En DeFi, se llama "resistencia a la censura".
¿Qué significa el caso THORChain para la resistencia a la censura en DeFi?
THORChain ha puesto sobre la mesa el dilema que DeFi ha evitado durante años:
| Posición | Argumento | Consecuencia |
|---|---|---|
| Censura = traición | Si censuras una vez, el precedente destruye la neutralidad. Cualquier gobierno puede exigir lo mismo. | DeFi mantiene su tesis pero facilita el lavado de miles de millones para estados hostiles |
| No censurar = complicidad | Tener un mecanismo de pausa y no usarlo es una decisión, no automatismo. Los validadores ganan fees por transacciones ilícitas. | DeFi se posiciona contra la comunidad internacional y atrae regulación agresiva |
| Solución técnica | Filtros a nivel de aplicación (frontend), no de protocolo. El código sigue siendo permissionless pero las interfaces no muestran transacciones sancionadas. | Censura cosmética que no detiene a Lazarus (usan CLI, no frontends) |
El artículo de centralización DeFi analiza cómo la infraestructura "descentralizada" tiene puntos centralizados ocultos. THORChain demuestra el problema inverso: cuando algo ES realmente descentralizado, no hay nadie a quien llamar cuando se usa para financiar armas nucleares.
La privacidad financiera es un derecho. Pero los derechos tienen límites cuando chocan con la seguridad nacional. THORChain ha tomado una posición — y esa posición tiene consecuencias para todo el ecosistema. Si los reguladores deciden que los validadores de THORChain son "transmisores de dinero" que facilitaron lavado para un estado sancionado, el precedente afecta a cada nodo de cada protocolo permissionless del mundo.
Lo más honesto que se puede decir: THORChain funciona como fue diseñado. Lazarus lo usa porque funciona. Y el hecho de que funcione exactamente como promete — sin excepciones, sin juicio moral, sin discriminación — es simultáneamente su mayor virtud y su mayor problema.
¿Sabes por qué protocolos pasan tus fondos cuando haces un swap cross-chain?
CleanSky muestra tu portafolio por cadena y protocolo — para que veas la ruta de tus activos antes de que la ruta importe. Sin custodiar tus fondos. Descubre cómo funciona.