Arbitrum "fingió ser el hacker" y "recuperó" los fondos robados de KelpDAO

En el mundo de las finanzas descentralizadas (DeFi), las historias rara vez terminan cuando se valida la transacción de un exploit. El incidente de KelpDAO, ampliamente descrito como uno de los mayores eventos de seguridad en DeFi de 2026, acaba de tener una secuela inesperada: Arbitrum ejecutó una acción de emergencia en la cadena que suplantó la dirección del explotador y movió aproximadamente 30,765 ETH a una bóveda congelada, efectivamente "recuperando" (o más precisamente, congelando y confiscando) los fondos que aún estaban en Arbitrum One.

Este artículo analiza lo que sucedió, cómo funcionó y qué significa para cualquiera que utilice Layer 2, puentes entre cadenas y tokens de restaking / restaking líquido en el vertiginoso panorama de la seguridad criptográfica de 2025-2026.

---

Lo que sucedió: de un exploit de puente de $292M a ETH disperso entre cadenas

El exploit de KelpDAO (18 de abril de 2026)

Según múltiples análisis del incidente, el ataque comenzó alrededor de las 17:35 UTC del 18 de abril de 2026 y se centró en la configuración entre cadenas rsETH de KelpDAO (basada en mensajería y verificación al estilo LayerZero). En términos simplificados, el atacante pudo forjar / validar un mensaje entre cadenas bajo una configuración que creó un punto único de fallo (por ejemplo, verificación "1 de 1"), permitiendo liberar activos como si hubiera ocurrido un retiro legítimo del puente.

Si deseas un análisis técnico pero legible, estos son buenos puntos de partida:

• Informe de incidente de gobernanza de Aave (señal alta y línea de tiempo concreta): Informe sobre el incidente de rsETH (20 de abril de 2026)
• Análisis de Blockaid (ángulo de modelo de amenaza): Cómo un único compromiso de DVN de LayerZero drenó $292M de KelpDAO
• Análisis profundo de Hypernative (semántica de mensajes entre cadenas): El exploit de la capa de observación de KelpDAO
• Recapitulación de la industria con contexto (inglés): Informe de TechFlow sobre el exploit de KelpDAO

Los fondos "sobrantes" en Arbitrum: ~30,765 ETH

Después de grandes exploits, los fondos suelen fragmentarse: los puentes, los swaps y las rutas de salto dispersan los activos por múltiples redes. En este caso, una gran parte de ETH permaneció en Arbitrum One — aproximadamente 30,765.6675 ETH — con un valor de alrededor de más de $70M en el momento de la redacción.

---

El giro: Arbitrum suplantó al explotador para mover fondos a una bóveda de congelación (21 de abril de 2026)

El 21 de abril de 2026 (11:26 p.m. ET), el Consejo de Seguridad de Arbitrum ejecutó una acción de emergencia que:

1. Actualizó temporalmente un contrato del sistema de Arbitrum (el contrato Inbox en Ethereum).
2. Añadió una función que permitía un mensaje de L1 → L2 que podía suplantar al remitente de la transacción.
3. Envió una transacción entre cadenas que parecía provenir de la dirección del explotador.
4. Transfirió el ETH a 0x0000000000000000000000000000000000000DA0 (una dirección designada para congelación).
5. Luego volvió a actualizar el contrato a su implementación original — un patrón operativo "atómico" diseñado para minimizar la ventana de actualización.

Fuente principal:

• Foro de Arbitrum DAO: Acción de Emergencia del Consejo de Seguridad – 21/04/2026

Resumen de noticias (chino):

• Noticias rápidas de TechFlow: Arbitrum Security Council congela de emergencia 30,766 ETH relacionados con KelpDAO

También puedes inspeccionar los artefactos específicos en la cadena de la publicación del foro:

• Hash de transacción en Etherscan (acción L1)
• Hash de transacción en Arbiscan (transferencia L2 a dirección de congelación)

Por eso la gente lo resumió como: "Arbitrum fingió ser el hacker y recuperó el dinero". Técnicamente, fue un procedimiento de emergencia autorizado por la gobernanza que se basó en las capacidades de actualización / administración de Arbitrum.

---

¿Por qué esto importa? No es solo una historia de rescate, es una llamada de atención sobre la descentralización.

1) "El código es ley" se encuentra con "El Consejo de Seguridad es ley"

La industria criptográfica pasó años avanzando desde "claves de administrador por todas partes" hacia una descentralización por etapas. Pero los consejos de seguridad de Layer 2 y los poderes de emergencia todavía existen por una razón: respuesta rápida.

La acción de Arbitrum muestra una dura verdad:

• Si una red puede actualizar contratos centrales, también puede cambiar quién controla efectivamente los fondos bajo condiciones extraordinarias.

Esto no es puramente bueno ni puramente malo, pero es un factor de riesgo que los usuarios deben tener en cuenta al elegir cadenas y protocolos.

Si deseas evaluar sistemáticamente estas compensaciones, es útil consultar paneles de infraestructura neutrales como:

• L2BEAT (Descripción general del riesgo de Layer 2)

2) El riesgo de los puentes entre cadenas sigue siendo la principal amenaza en 2025-2026

Incluso con la mejora de las auditorías y la verificación formal, la configuración del puente y las suposiciones de verificación siguen siendo puntos de fallo frecuentes. El caso KelpDAO refuerza un patrón recurrente:

• La vulnerabilidad a menudo no es una "línea de Solidity defectuosa" aislada, sino una decisión de diseño / configuración del sistema que crea un punto único de fallo silencioso.

El seguimiento de las tendencias de exploits a través de datos públicos puede ayudar a los usuarios a comprender la frecuencia de estos eventos:

• DeFiLlama (Hacks de DeFi y datos de TVL)

3) El problema del precedente: ¿cuándo es aceptable "confiscar" fondos?

La medida de Arbitrum probablemente desencadenará un debate en Twitter cripto, foros de gobernanza y círculos de investigación:

• Si es aceptable congelar fondos robados, ¿es aceptable congelar fondos sancionados?
• ¿Qué pasa con la propiedad disputada, la insolvencia de protocolos o las órdenes judiciales?
• ¿Quién decide qué califica como "emergencia" y cuáles son las salvaguardias?

El punto clave para los usuarios: estos poderes existen, y tu modelo de riesgo debe reflejarlos.

---

Conclusiones prácticas para usuarios de DeFi: qué deberías hacer de manera diferente después de KelpDAO

1) Trata los puentes y los "activos omnichain" como de mayor riesgo que los activos de una sola cadena

Si tu estrategia depende de la transferencia entre cadenas (o de mantener representaciones transferidas), considera:

• Limitar el tamaño de tu posición en activos transferidos.
• Preferir rutas con supuestos de verificación más sólidos y multipartitos.
• Evitar combinaciones de "nueva cadena + nuevo puente + nueva LRT" a menos que puedas tolerar el riesgo extremo.

2) Asume que cada aprobación puede convertirse en un evento de pérdida

Muchos incidentes de nueve cifras finalmente se monetizan a través de tolerancias, firmas y superficies de permisos que los usuarios no revisan.

La higiene básica que sigue funcionando:

• Utiliza billeteras separadas para inversiones a largo plazo frente a DeFi activo.
• Revoca las aprobaciones periódicamente (especialmente después de interactuar con nuevos protocolos).
• Verifica los dominios cuidadosamente (el phishing a menudo aumenta justo después de incidentes importantes).

3) Las billeteras de hardware ayudan, pero solo si las usas intencionalmente

Una billetera de hardware no puede hacer que DeFi sea seguro mágicamente, pero puede reducir materialmente ciertas clases de riesgo al mantener las claves sin conexión y forzar la confirmación explícita para acciones sensibles.

Si estás utilizando OneKey, el hábito más relevante es: tómate tu tiempo en el paso de la firma. Trata cada firma / aprobación como una decisión financiera real, especialmente en entornos L2 de alta velocidad donde los atacantes dependen de la urgencia del usuario.

---

Qué sucederá después: la gobernanza decide si los fondos congelados pueden ser liberados

La publicación del foro de Arbitrum es explícita: el ETH está congelado, y se requiere una acción posterior de la Gobernanza de Arbitrum para liberarlo (presumiblemente coordinando con las partes afectadas y cualquier investigación en curso). Consulta la redacción oficial y la discusión en evolución aquí:

• Acción de Emergencia del Consejo de Seguridad – 21/04/2026 (Foro de Arbitrum DAO)

En otras palabras, el capítulo de "recuperación" no es una reversión limpia, es el comienzo de un proceso de coordinación de gobernanza, legal y social.

---

Pensamiento final

El exploit de KelpDAO y la respuesta de emergencia de Arbitrum resaltan un tema definitorio de las criptomonedas en 2025-2026: la seguridad ya no se trata solo de contratos inteligentes, sino de configuración, suposiciones entre cadenas y poder de gobernanza.

Si participas en DeFi hoy, tu ventaja no es solo el rendimiento, sino comprender dónde reside realmente el control cuando algo sale mal.