El 18 de abril de 2026, KelpDAO sufrió la mayor brecha de seguridad DeFi del año. El atacante explotó su puente cross-chain impulsado por LayerZero para robar aproximadamente 116 500 rsETH, valorados en unos 292 millones de dólares. A diferencia de las vulnerabilidades tradicionales en contratos inteligentes, este incidente fue un evento de seguridad sistémico amplificado por el fallo del modelo de confianza cross-chain y la composabilidad de los protocolos DeFi.
El fallo técnico central residía en la configuración de la arquitectura de verificación cross-chain de LayerZero. El puente de rsETH de KelpDAO utilizaba la solución OFT (Omnichain Fungible Token) de LayerZero, que depende de una DVN (Decentralized Verification Network) para su seguridad. Sin embargo, KelpDAO operaba con una configuración de validador 1-de-1, lo que significaba que la firma de un solo validador era suficiente para confirmar mensajes cross-chain. El atacante falsificó un mensaje cross-chain, lo que provocó la liberación automática de unos 292 millones de dólares en activos. La ejecución fue sumamente eficiente: desde la llamada inicial de función hasta la transferencia completa de los fondos, todo el proceso duró solo 46 minutos.
Tras el robo, el atacante depositó los rsETH sustraídos como colateral en Aave V3 y otros protocolos de préstamos, tomando prestada una gran cantidad de ETH y generando cerca de 196 millones de dólares en deuda incobrable en los libros de Aave. El valor total bloqueado (TVL) de Aave cayó de unos 26 400 millones a 18 600 millones de dólares, y el token AAVE descendió alrededor de un 20 % en un solo día. Posteriormente, el atacante transfirió aproximadamente 30 766 ETH a una dirección en la cadena Arbitrum One, movimiento que desencadenó la intervención directa del consejo de seguridad.
¿Cuál fue la base de actuación del consejo de seguridad?
El Consejo de Seguridad de Arbitrum es un órgano de 12 miembros elegido por la DAO de Arbitrum. Los miembros rotan mediante elecciones regulares, con mandatos de 12 meses y grupos escalonados de seis personas. La función principal del consejo es actuar con rapidez en situaciones de emergencia, utilizando una cartera multisig 9-de-12 para proteger la seguridad e integridad del ecosistema Arbitrum.
En este incidente, la intervención del consejo se basó en la confirmación de la identidad del atacante, con ayuda de las fuerzas del orden. El anuncio oficial de Arbitrum indicó que el consejo actuó "basándose en información sobre la identidad del atacante proporcionada por las fuerzas del orden". Desde una perspectiva de gobernanza, esta acción se ajusta a la definición de "emergencia catastrófica" recogida en la documentación de descentralización progresiva de Arbitrum, lo que otorga al consejo base legal para intervenir.
Es importante señalar que los poderes del consejo no son ilimitados. Según la carta fundacional de la DAO de Arbitrum, el consejo solo puede saltarse los procesos de gobernanza estándar en situaciones de emergencia, y requiere el acuerdo de al menos 9 de los 12 miembros. En este caso, nueve miembros votaron a favor de congelar los fondos, alcanzando el umbral mínimo de la multisig. El miembro del consejo Griff Green declaró en X que la decisión "no se tomó a la ligera, sino tras incontables horas de debate técnico, práctico, ético y político".
¿Cómo se implementó técnicamente la congelación on-chain?
Haseeb Qureshi, socio director de Dragonfly, ofreció una explicación detallada del mecanismo técnico. La transacción de congelación utilizó el ArbitrumUnsignedTxType (EIP-2718 tipo 0x65/101), una transacción a nivel de sistema que no puede ser generada por cuentas externas (EOA) normales mediante firmas de clave privada. Solo el consejo de seguridad, a través de la inyección de ArbOS, puede ejecutar este tipo de transacciones.
Esto significa que la operación difiere fundamentalmente de las transacciones estándar en blockchain. Las transacciones habituales se autorizan mediante claves privadas de usuario, mientras que la legitimidad de esta transacción a nivel de sistema deriva de las reglas de consenso de la cadena, no de la firma de un usuario individual. El consejo, mediante la aprobación multisig 9-de-12, activó las capacidades de modificación de estado central de ArbOS, alterando directamente el saldo de una dirección específica: transfirió 30 766 ETH de la dirección del atacante a una cartera intermedia de congelación. La lógica de ejecución de la cadena hizo cumplir esta transferencia.
Cabe destacar que esta acción no fue un "rollback" tradicional de la cadena. No se revirtieron bloques confirmados ni se reescribió el historial de transacciones. Todos los registros on-chain durante el ataque permanecen intactos, preservando la inmutabilidad de la blockchain. Desde la perspectiva de la máquina de estados, se trató de una recuperación de activos a nivel de estado: la clave privada del atacante aún puede firmar transacciones, pero los activos principales en esa dirección han sido trasladados forzosamente a una cartera controlada por la gobernanza según las reglas de la cadena. Este enfoque técnico permite una intervención dirigida sin comprometer la integridad del libro mayor blockchain.
La operación de congelación fue sumamente precisa. Arbitrum recalcó que la transferencia "no afectó a ningún otro estado on-chain ni a usuarios de Arbitrum", ni interrumpió ninguna aplicación de Arbitrum. A las 23:26 (ET) del 20 de abril, los fondos ya se habían transferido con éxito a la cartera intermedia de congelación, y la dirección original del atacante ya no tenía acceso a estos activos. Cualquier movimiento posterior de los fondos solo podrá realizarse mediante acción coordinada del órgano de gobernanza de Arbitrum.
¿Cómo se equilibra la intervención de la gobernanza con los principios de descentralización?
Aunque la congelación permitió interceptar parte de los fondos robados, también generó un intenso debate sobre los límites de la gobernanza descentralizada en las redes. Un consejo de seguridad de capa 2, con apoyo de las fuerzas del orden, intervino para congelar activos en una dirección on-chain específica, sentando un precedente relevante en la historia de DeFi.
La controversia central: ¿son la inmutabilidad y la resistencia a la censura de la blockchain principios absolutos, o pueden verse comprometidos en circunstancias excepcionales? Los partidarios argumentan que, cuando los activos de los usuarios están en riesgo de grandes pérdidas, la intervención de emergencia de la gobernanza es una herramienta necesaria para la seguridad del ecosistema. Como órgano comunitario elegido, las acciones del consejo de seguridad representan la voluntad colectiva en escenarios extremos. Los críticos, por su parte, sostienen que cualquier congelación de activos on-chain socava la filosofía fundacional de la blockchain. En X, varios usuarios criticaron la decisión de Arbitrum, cuestionando hasta qué punto la red sigue siendo descentralizada si el consejo puede congelar fondos por decreto.
Desde el punto de vista del diseño de sistemas, la autoridad del Consejo de Seguridad de Arbitrum está claramente definida. Según la documentación de descentralización progresiva de Arbitrum, el consejo solo puede ejercer estos poderes en "emergencias catastróficas" y debe cumplir el umbral multisig 9-de-12. Los miembros del consejo son elegidos por la DAO y pueden ser destituidos mediante votación de la DAO o revocación interna, lo que proporciona un sistema de contrapesos. Sin embargo, este incidente también puso de manifiesto un problema no resuelto: en ausencia de desencadenantes automáticos on-chain, el estándar para definir una "emergencia catastrófica" sigue siendo subjetivo, lo que convierte el alcance de la autoridad del consejo en un potencial riesgo de gobernanza.
¿Qué riesgos sistémicos reveló la infraestructura cross-chain?
El incidente de seguridad de KelpDAO pone de manifiesto la fragilidad estructural de la infraestructura cross-chain. En los últimos años, los ataques a puentes cross-chain han supuesto más de 2800 millones de dólares en fondos robados, casi la mitad de todas las pérdidas en DeFi. Este evento refuerza esa tendencia: la vulnerabilidad central no fue un fallo en el código de los contratos inteligentes, sino un punto único de fallo en el modelo de confianza de verificación cross-chain.
La investigación de LayerZero señaló que la configuración de validador 1-de-1 de KelpDAO violaba las mejores prácticas del sector. LayerZero había recomendado en repetidas ocasiones una configuración multivalidador para garantizar redundancia, pero estas sugerencias no se implementaron. Esta configuración implicaba que comprometer un solo validador bastaba para liberar todos los activos del puente. David Schwartz, CTO de Ripple, resumió el problema en X: "El ataque fue mucho más complejo de lo esperado, explotando un descuido en la configuración de KelpDAO y apuntando a la infraestructura de LayerZero".
El modelo de confianza de la infraestructura cross-chain es, en esencia, un "compromiso" respecto a los supuestos de descentralización de la blockchain. En un ecosistema multichain, las transferencias de activos entre cadenas requieren un intermediario que valide y retransmita mensajes. Ya sea mediante multisig, DVN u otro mecanismo, es difícil eliminar la dependencia de un grupo específico de validadores. El caso de KelpDAO demuestra que, cuando esta dependencia se reduce a un único punto, todo el puente se convierte en una vulnerabilidad crítica.
¿Cómo evolucionarán los marcos de seguridad y gobernanza en la industria?
Este incidente deja varias lecciones relevantes para el sector DeFi.
En materia de seguridad cross-chain, las configuraciones de validador único deben considerarse inaceptables. LayerZero ha desconectado los nodos afectados y restablecido las operaciones de la DVN, pero queda una cuestión más amplia: ¿cuántos protocolos siguen funcionando con configuraciones similares de punto único? El sector necesita normas de auditoría de seguridad cross-chain más estrictas y directrices de configuración que eliminen los riesgos de confianza de punto único a nivel sistémico.
En cuanto a la gobernanza, el equilibrio entre los poderes de emergencia del consejo de seguridad y la gobernanza comunitaria requiere mayor refinamiento. Actualmente, el alcance de actuación del consejo en "emergencias catastróficas" sigue basándose en juicios subjetivos, sin desencadenantes claros on-chain ni mecanismos de revisión posterior al evento. Una posible evolución sería un marco de respuesta de emergencia multinivel, adaptando los niveles de autorización a la gravedad del incidente e introduciendo comités de revisión independientes para evaluar la legitimidad de las acciones de emergencia a posteriori.
En lo relativo a la asignación de pérdidas, el incidente de KelpDAO supuso pérdidas totales de unos 292 millones de dólares, con el Consejo de Seguridad de Arbitrum logrando congelar aproximadamente 71 millones, cerca de una cuarta parte del total. La gestión de las pérdidas restantes—including los 196 millones de dólares en deuda incobrable de Aave, los mecanismos de reparto de pérdidas entre protocolos y posibles indemnizaciones de seguros—sigue en negociación. Este caso podría motivar a los protocolos DeFi a incorporar mecanismos de respuesta de emergencia y reparto de pérdidas en su diseño desde el principio, en lugar de buscar soluciones ad hoc tras los incidentes.
Conclusión
Desde el exploit del puente cross-chain hasta la congelación de 30 766 ETH por parte del consejo de seguridad, el caso de KelpDAO ofrece una visión completa de los mecanismos de respuesta de emergencia de DeFi ante ataques a gran escala. El dilema central—fallos en los modelos de confianza cross-chain frente a los límites de la intervención de la gobernanza descentralizada—guiará las futuras reformas y mejoras de seguridad en la industria. La exitosa congelación de 30 766 ETH marca un hito en la recuperación de activos, pero plantea más preguntas que respuestas: ¿quién define una "emergencia catastrófica"? ¿Cómo pueden hacerse cumplir estándares de intervención de emergencia on-chain? ¿Cómo optimizar los supuestos de confianza cross-chain para lograr tanto seguridad como descentralización? Las respuestas a estas cuestiones marcarán la evolución del ecosistema DeFi en los próximos años.
Preguntas frecuentes (FAQ)
¿Cómo logró el Consejo de Seguridad de Arbitrum congelar fondos con precisión sin afectar a otros usuarios?
El consejo utilizó un enfoque técnico a nivel de sistema dirigido a una dirección específica. Mediante la ejecución de una transacción ArbitrumUnsignedTxType a través de inyección de ArbOS, transfirieron directamente 30 766 ETH de la dirección del atacante a una cartera intermedia de congelación. Esta operación no alteró ningún bloque histórico ni afectó los saldos ni las operaciones de contrato de otros usuarios. Su precisión reside en modificar únicamente el estado de la dirección objetivo.
¿Qué pasará con los 30 766 ETH congelados?
Actualmente, estos fondos se encuentran en una cartera de relevo controlada exclusivamente por el órgano de gobernanza de Arbitrum. Cualquier transferencia posterior requerirá aprobación a través del proceso de gobernanza de Arbitrum y coordinación con las partes pertinentes. El plan específico para la devolución de los fondos aún no se ha anunciado y probablemente dependerá del avance de las investigaciones policiales y los procedimientos legales.
¿Cómo afectó la congelación al manejo general del incidente de seguridad de KelpDAO?
La acción permitió recuperar con éxito unos 71 millones de dólares de los fondos robados, casi una cuarta parte de las pérdidas totales, limitando efectivamente el control del atacante sobre estos activos. Sin embargo, la resolución completa del incidente de KelpDAO—including la gestión de los aproximadamente 196 millones de dólares en deuda incobrable de Aave, la asignación de responsabilidades entre KelpDAO y LayerZero, y los acuerdos de compensación entre protocolos—aún está en curso.
