KelpDAO revisión de incidente de seguridad: Cómo Arbitrum congeló 30,766 ETH robados

El 18 de abril de 2026, KelpDAO sufrió el mayor ataque de seguridad del año en el ámbito DeFi, donde los atacantes, mediante su puente intercadena impulsado por LayerZero, robaron aproximadamente 116,500 rsETH, con un valor de unos 292 millones de dólares. La naturaleza de este ataque no fue una vulnerabilidad tradicional en contratos inteligentes, sino un evento de seguridad sistémico causado por la falla en el modelo de confianza entre cadenas, amplificado por la composabilidad de DeFi.

La ruta técnica central del ataque apunta a una deficiencia en la configuración de la arquitectura de verificación intercadena de LayerZero. El puente rsETH de KelpDAO utiliza la solución LayerZero OFT (Omnichain Fungible Token), cuya seguridad depende de la DVN (Red de Verificación Descentralizada). Sin embargo, KelpDAO opera con una configuración de un solo nodo validante 1-de-1, lo que significa que basta con la firma de un solo nodo validante para confirmar que un mensaje intercadena es auténtico. Los atacantes, mediante técnicas de manipulación, falsificaron un mensaje intercadena, y el sistema liberó automáticamente activos por valor de aproximadamente 292 millones de dólares. La ejecución del ataque fue sumamente eficiente: desde la llamada a la función principal hasta que los fondos fueron transferidos por completo, todo el proceso duró solo 46 minutos.

Tras completar el robo, los atacantes colocaron los rsETH obtenidos como colateral en Aave V3 y otros protocolos de préstamo, tomando prestado una gran cantidad de ETH, y generaron una deuda incobrable de aproximadamente 196 millones de dólares en los libros de Aave. El valor total bloqueado (TVL) en Aave cayó abruptamente de unos 26.4 mil millones de dólares a 18.6 mil millones, y el token AAVE cayó cerca del 20% en un solo día. Posteriormente, los atacantes transfirieron aproximadamente 30,766 ETH a la cadena Arbitrum One, movimiento que sirvió como desencadenante directo para la intervención del comité de seguridad.

¿En qué se basa la acción del comité de seguridad?

El comité de seguridad de Arbitrum está compuesto por 12 miembros elegidos por DAO Arbitrum, quienes rotan mediante elecciones periódicas, con un mandato de 12 meses, en grupos de 6. La función principal del comité es actuar rápidamente en situaciones de emergencia mediante una firma múltiple de 9 de 12 para garantizar la seguridad e integridad del ecosistema Arbitrum.

En este incidente, la condición previa para la acción del comité —la confirmación de la identidad del atacante— contó con la colaboración de las autoridades. Arbitrum aclaró en su comunicado que el comité actuó “basándose en la información de las autoridades sobre la identidad del atacante”. Desde la perspectiva del proceso de gobernanza, esta acción cumple con la definición de “situaciones catastróficas de emergencia” en la documentación de descentralización progresiva de Arbitrum, otorgándole la base legal para intervenir.

Es importante señalar que el poder del comité no es ilimitado. Según los estatutos de DAO Arbitrum, el comité solo puede saltarse los procesos de gobernanza estándar en emergencias, con un umbral de aprobación de al menos 9 de 12 miembros. En esta ocasión, 9 miembros votaron a favor del congelamiento de fondos, cumpliendo con el mínimo requerido. Griff Green, miembro del comité, expresó en X que esta decisión “no fue tomada a la ligera, sino tras horas de debates técnicos, prácticos, éticos y políticos”.

¿Cómo se implementa técnicamente el congelamiento en la cadena?

Haseeb Qureshi, socio gerente de Dragonfly, analizó en detalle la esencia técnica de esta operación. La transacción de congelamiento utiliza el tipo de transacción ArbitrumUnsignedTxType (EIP-2718 tipo 0x65/101), que es una transacción a nivel de sistema, incapaz de ser firmada por una cuenta externa normal (EOA) mediante clave privada, y solo puede ser ejecutada por el comité de seguridad mediante inyección en ArbOS.

Esto significa que la mecánica central de esta operación difiere fundamentalmente del modelo de transacción convencional en blockchain. Las transacciones normales son firmadas por la clave privada del usuario, cuya validez se basa en la autorización del usuario; en cambio, la validez de estas transacciones a nivel de sistema proviene de las reglas de consenso de la cadena, no de la firma de un usuario individual. El comité de seguridad, mediante una firma múltiple de 9 de 12, activa la capacidad de modificación del estado subyacente en ArbOS, alterando directamente el saldo de una dirección específica — transfiriendo 30,766 ETH desde la dirección del atacante a una wallet de congelamiento intermedia, y esta transferencia se realiza por la lógica de ejecución de la cadena.

Cabe destacar que esta operación no es un “rollback” tradicional. No revierte bloques confirmados ni reescribe el historial de transacciones. Todos los registros en la cadena durante el ataque permanecen intactos, y la inmutabilidad del libro mayor no se ve afectada. Desde la perspectiva de la máquina de estados, esto es esencialmente una “recuperación de activos a nivel de estado”: la clave privada del atacante aún puede firmar transacciones, pero los activos principales en su dirección han sido forzados a transferirse a una wallet controlada por gobernanza, sin alterar la historia de la cadena. Este diseño técnico permite intervenir en activos específicos sin comprometer la integridad del libro mayor.

El proceso de congelamiento es altamente preciso. Arbitrum enfatiza que toda la transferencia no afecta “otros estados en la cadena ni a los usuarios de Arbitrum”, ni interfiere con el funcionamiento normal de las aplicaciones en Arbitrum. A las 23:26 del 20 de abril, hora del este de EE. UU., los fondos ya habían sido transferidos a la wallet de congelamiento, y la dirección original del atacante ya no tiene acceso a estos fondos. Cualquier transferencia futura solo podrá ser ejecutada por la gobernanza de Arbitrum tras coordinarse con las partes involucradas.

¿Cómo equilibra la gobernanza la intervención y los principios de descentralización?

La acción de congelamiento, que interceptó eficientemente parte de los fondos robados, generó un amplio debate sobre los límites de la gobernanza en redes descentralizadas. La intervención activa de un comité de seguridad en una cadena de Layer-2, con ayuda de las autoridades, y el congelamiento de activos en direcciones específicas, establece un precedente importante en la historia de DeFi.

El núcleo del debate es: ¿la inmutabilidad y resistencia a la censura de la blockchain son principios absolutos, o pueden ser comprometidos bajo ciertas condiciones? Los defensores argumentan que, en casos de pérdidas masivas de activos, una respuesta rápida mediante intervención de gobernanza es una herramienta necesaria para proteger la seguridad del ecosistema. El comité de seguridad, como institución elegida por la comunidad, representa la voluntad colectiva en situaciones extremas. Los críticos, en cambio, señalan que cualquier congelamiento de activos en cadena entra en tensión con la filosofía fundamental de la blockchain. En X, varios usuarios criticaron la acción de Arbitrum, cuestionando cuánto queda de la descentralización si una sola decisión del comité puede congelar fondos.

Desde el punto de vista del diseño institucional, los límites del poder del comité están claramente definidos. Según la documentación de descentralización progresiva de Arbitrum, solo puede ejercer estos poderes en “situaciones catastróficas de emergencia”, con un umbral de firma de 9 de 12. Además, los miembros del comité son elegidos por DAO y pueden ser removidos mediante votación o mecanismos de remoción, estableciendo un sistema de pesos y contrapesos. Sin embargo, el incidente también revela un problema aún sin resolver: en ausencia de mecanismos automáticos en la cadena para activar estas intervenciones, la definición de “situación catastrófica” sigue dependiendo de la discreción subjetiva del comité, lo que puede representar un riesgo de gobernanza.

¿Qué riesgos sistémicos revela la infraestructura intercadena?

El incidente en KelpDAO expone vulnerabilidades estructurales en la infraestructura de cadenas cruzadas. En los últimos años, los fondos robados en puentes intercadena superan los 2.8 mil millones de dólares, representando casi la mitad del total de pérdidas en DeFi. Este evento confirma que la vulnerabilidad no radica en el código de los contratos inteligentes en sí, sino en el diseño del modelo de confianza en los mecanismos de verificación intercadena.

LayerZero, en su investigación, señaló que la configuración de un solo nodo validante DVN 1-de-1 utilizada por KelpDAO viola las mejores prácticas del sector, y LayerZero ha recomendado en varias ocasiones adoptar configuraciones con múltiples nodos validantes para redundancia, recomendaciones que no fueron implementadas. Esta deficiencia en la configuración permitió a los atacantes comprometer un solo nodo validante y desencadenar la liberación de activos en todo el sistema. David Schwartz, CTO de Ripple, resumió en X: “El ataque fue mucho más complejo de lo esperado; aprovecharon la negligencia en la configuración de KelpDAO y apuntaron a la infraestructura de LayerZero”.

La confianza en la infraestructura intercadena es, en esencia, una “tregua” en la hipótesis de confianza descentralizada en blockchain. En un ecosistema multichain, la transferencia de activos entre cadenas requiere confiar en un intermediario que valide y transmita los mensajes. Este intermediario, ya sea mediante múltiples firmas, DVN u otros mecanismos, difícilmente puede eliminar por completo la dependencia de ciertos validadores. El incidente de KelpDAO muestra que, cuando esta dependencia se reduce a un solo punto, toda la puente intercadena se vuelve una vulnerabilidad crítica y fácil de explotar.

¿Cómo puede la industria reformular los marcos de seguridad y gobernanza?

Este evento ofrece varias lecciones profundas para la industria DeFi.

En el ámbito de la seguridad intercadena, la configuración de un solo nodo validante debe considerarse una práctica insegura e inaceptable. LayerZero ha desconectado los nodos afectados y restaurado la operación de DVN, pero la pregunta es: ¿cuántos protocolos aún operan con configuraciones similares? La industria necesita establecer estándares de auditoría de seguridad intercadena más estrictos y normativas de configuración para eliminar riesgos de confianza en puntos únicos.

En cuanto a la gobernanza, el equilibrio entre la autoridad de intervención en emergencias y la democracia comunitaria debe ser más preciso. Actualmente, los límites de acción del comité en “situaciones catastróficas” dependen de juicios subjetivos, sin condiciones automáticas en la cadena ni mecanismos de revisión posterior. Una evolución posible sería crear sistemas de respuesta de emergencia en múltiples niveles, ajustando diferentes grados de autorización según la gravedad del evento, y posteriormente incorporar comités independientes para evaluar la razonabilidad de las acciones tomadas.

En la distribución de pérdidas, el incidente de KelpDAO resultó en una pérdida total de aproximadamente 292 millones de dólares, de los cuales el comité de seguridad de Arbitrum logró congelar cerca de 71 millones, recuperando casi una cuarta parte. La gestión del resto de las pérdidas —incluyendo la resolución de las deudas incobrables en Aave, la responsabilidad entre protocolos y la posible activación de seguros— sigue en discusión. Este caso puede impulsar que los protocolos DeFi consideren desde el diseño mecanismos de respuesta a emergencias y distribución de pérdidas, en lugar de buscar soluciones temporales solo tras el incidente.

Conclusión

El incidente de KelpDAO, desde la vulnerabilidad en la puente intercadena hasta la congelación de 30,766 ETH por parte del comité de seguridad, refleja claramente cómo la respuesta ante ataques masivos en DeFi se articula en una cadena de decisiones y mecanismos. La tensión central —la fragilidad del modelo de confianza en infraestructura intercadena y los límites de la gobernanza descentralizada— será un referente clave para la evolución de regulaciones, estándares de seguridad y diseño de protocolos en el futuro cercano. La congelación de 30,766 ETH representa una victoria parcial en la recuperación de fondos, pero también plantea preguntas fundamentales: ¿quién define qué es una “situación catastrófica”? ¿Cómo formalizar en la cadena la autoridad de intervención? ¿Qué modelos de confianza en infraestructura intercadena ofrecen un equilibrio más seguro y descentralizado? La respuesta a estas cuestiones determinará en gran medida el rumbo del ecosistema DeFi en los próximos años.

Preguntas frecuentes (FAQ)

¿Cómo logró el comité de seguridad de Arbitrum congelar fondos con precisión sin afectar a otros usuarios?

El comité utilizó una solución técnica a nivel de sistema dirigida a direcciones específicas, mediante la inyección de una transacción ArbitrumUnsignedTxType en ArbOS, que transfirió los 30,766 ETH de la dirección del atacante a una wallet de congelamiento intermedia. Esta operación no modifica bloques históricos ni afecta los saldos de otros usuarios o contratos, y su precisión radica en que solo afecta a la dirección objetivo.

¿Y qué pasará con los 30,766 ETH congelados?

Actualmente, estos fondos están en una wallet de intermediación controlada por la gobernanza de Arbitrum. Cualquier transferencia futura requerirá la aprobación de la gobernanza y coordinación con las partes involucradas. La estrategia de devolución aún no ha sido anunciada, y dependerá de la investigación legal y las decisiones regulatorias.

¿Cómo impacta esta acción en la gestión del incidente de KelpDAO?

La congelación logró recuperar cerca de 71 millones de dólares, aproximadamente una cuarta parte del total robado, limitando la capacidad del atacante para controlar esos fondos. Sin embargo, la resolución completa del incidente —incluyendo la gestión de las deudas incobrables en Aave, la responsabilidad entre protocolos y la posible activación de seguros— continúa en proceso.