Analista de Certik: La vulnerabilidad de KelpDAO pone de manifiesto un cambio de gran calado en la ciberdelincuencia entre cadenas

• El Consejo de Seguridad de Arbitrum y SEAL 911 congelaron 30 766 ETH el 18 de abril para mitigar el robo de Kelp DAO.
• El analista de Certik, Wenzhao Dong, advierte de que los robos en puentes ahora generan deuda incobrable sistémica para plataformas como Aave.
• Kelp DAO tiene como objetivo restablecer la paridad del rsETH y recuperar los 220 millones de dólares restantes en activos digitales desaparecidos.

Seguridad frente a soberanía

La rápida intervención del Consejo de Seguridad de Arbitrum (ASC) para congelar 30 766 ETH ha reavivado uno de los debates más fundamentales en el ámbito de las cadenas de bloques: la tensión entre la descentralización inmutable y la gobernanza pragmática.

Si bien la recuperación de 71 millones de dólares en ETH supone una clara victoria para las víctimas, el método ha dividido a la comunidad en dos bandos distintos. Por un lado, los puristas sostienen que la capacidad del ASC para congelar activos de forma unilateral es una «pendiente resbaladiza» hacia los sistemas financieros centralizados que las criptomonedas fueron diseñadas para sustituir. Sostienen que si un consejo puede censurar a un hacker hoy, mañana podría verse obligado a censurar a un disidente político o a una empresa legal. Para este grupo, la intervención «human-in-the-loop» es una vulnerabilidad sistémica que socava la promesa fundamental de la falta de confianza.

Por otro lado, los pragmáticos ven la descentralización absoluta como un estado final al que aspirar, más que como un requisito desde el primer día. Sostienen que, para que las finanzas descentralizadas (DeFi) logren una adopción generalizada, deben contar con «disyuntores» para mitigar pérdidas catastróficas. Desde esta perspectiva, el ASC es una salvaguarda necesaria —un «cuerpo de bomberos digital»— que proporciona la rendición de cuentas requerida para proteger a los usuarios de actores sofisticados patrocinados por el Estado, como el Grupo Lazarus.

Según informaron Bitcoin.com News y otros medios de comunicación, el ASC actuó a partir de la información facilitada por las fuerzas del orden sobre la identidad del atacante. El consejo declaró que sopesó su compromiso con la seguridad y la integridad de la comunidad de Arbitrum, al tiempo que se aseguraba de que no hubiera ningún impacto en los usuarios o las aplicaciones de Arbitrum.

Aunque la congelación proporciona un alivio temporal, un experto advirtió que el robo representa una nueva y más peligrosa fase de la delincuencia DeFi, en la que las vulnerabilidades de los puentes se utilizan sistemáticamente para infectar los mercados de préstamos. Al analizar a posteriori la estrategia del atacante, Wenzhao Dong, analista de blockchain en Certik, señaló que el Grupo Lazarus, respaldado por Corea del Norte, demostró un sofisticado conocimiento de la liquidez del mercado. Dong señaló que, a diferencia del reciente incidente de Hyperbridge —en el que los atacantes acuñaron 1000 millones de Polkadot, pero solo lograron convertir unos 240 000 dólares antes de que el precio se desplomara—, los atacantes de Kelp DAO eligieron una vía de «retirada de fondos» más eficiente.

«El ataque a Kelp DAO muestra un patrón de riesgo claro en el DeFi moderno», afirmó Dong. «Una vulnerabilidad en un puente no permanece aislada; se convierte en un problema para los mercados de préstamos. Al utilizar rsETH acuñado fraudulentamente como garantía en Aave para pedir prestado WETH, el atacante convirtió un robo en un puente en deuda incobrable de Aave».

Dong señaló que los atacantes evitaron deliberadamente los mercados al contado, donde las órdenes de venta masivas habrían provocado deslizamientos y una detección temprana. En su lugar, al utilizar Aave como intermediario, descargaron el riesgo en el protocolo de préstamos. «La seguridad de las DeFi está interconectada», añadió Dong. «Los protocolos no pueden centrarse únicamente en sus propios contratos; deben tener en cuenta los riesgos que plantean todas las dependencias de su sistema e implementar medidas defensivas en consecuencia».

En una actualización compartida horas después de que el ASC anunciara la congelación, Kelp DAO expresó su gratitud por la «acción decisiva» tomada por el consejo. Atribuyó a la «coordinación y estructuración de la información» de SEAL 911 el mérito de haber sido el factor clave que permitió a las partes interesadas actuar antes de que los hackers pudieran sacar los 71 millones de dólares restantes en ETH de la red Arbitrum.

A pesar del éxito de la congelación, siguen sin aparecer aproximadamente 220 millones de dólares. Kelp DAO confirmó que su principal prioridad ahora es colaborar con Aave y otros socios para hacer frente a la «deuda incobrable» generada por el ataque. La organización declaró que también explorará todas las vías disponibles para apoyar a los titulares de rsETH y restablecer la paridad del protocolo.