Analista de Certik: El exploit de KelpDAO revela un cambio de alto riesgo en el cibercrimen Cross-chain

Puntos clave:

• El Arbitrum Security Council y SEAL 911 congelaron 30,766 ETH el 18 de abril para mitigar el robo a Kelp DAO.
• El analista de Certik, Wenzhao Dong, advierte que los robos en puentes entre cadenas ahora generan deuda incobrable sistémica para plataformas como Aave.
• Kelp DAO tiene como objetivo restaurar el peg de rsETH y recuperar los $220 millones restantes en activos digitales desaparecidos.

Seguridad vs. Soberanía

La rápida intervención del Arbitrum Security Council (ASC) para congelar 30,766 ETH ha reavivado uno de los debates más fundamentales en blockchain: la tensión entre la descentralización inmutable y la gobernanza pragmática.

Si bien la recuperación de $71 millones en ETH es una clara victoria para las víctimas, el método ha dividido a la comunidad en dos campos distintos. Por un lado, los puristas argumentan que la capacidad del ASC de congelar activos de manera unilateral es una "pendiente resbaladiza" hacia los sistemas financieros centralizados que las criptomonedas fueron diseñadas para reemplazar. Sostienen que si un consejo puede censurar a un hacker hoy, mañana podría verse coaccionado a censurar a un disidente político o a un negocio legal. Para este grupo, la intervención "human-in-the-loop" es una vulnerabilidad sistémica que socava la promesa central de la ausencia de confianza.

Por otro lado, los pragmatistas ven la descentralización absoluta como un estado final aspiracional en lugar de un requisito desde el primer día. Sostienen que para que las finanzas descentralizadas (DeFi) logren una adopción masiva, deben contar con "interruptores de circuito" para mitigar pérdidas catastróficas. Desde esta perspectiva, el ASC es una salvaguarda necesaria —un "departamento de bomberos digital"— que proporciona la responsabilidad requerida para proteger a los usuarios de actores sofisticados patrocinados por estados como el Grupo Lazarus.

Según informaron Bitcoin.com News y otros medios de comunicación, el ASC actuó con base en información de las autoridades policiales sobre la identidad del atacante. El consejo declaró que sopesó su compromiso con la seguridad e integridad de la comunidad de Arbitrum, asegurando al mismo tiempo que no hubiera impacto en los usuarios o aplicaciones de Arbitrum.

Si bien el congelamiento brinda un alivio temporal, un experto advirtió que el robo representa una nueva y más peligrosa fase del crimen en DeFi, donde las vulnerabilidades de los puentes entre cadenas se utilizan sistemáticamente para infectar los mercados de préstamos.

En un análisis post-mortem de la estrategia del atacante, Wenzhao Dong, analista de blockchain en Certik, señaló que el Grupo Lazarus, respaldado por Corea del Norte, demostró una comprensión sofisticada de la liquidez del mercado. Dong destacó que, a diferencia del reciente incidente de Hyperbridge —donde los atacantes acuñaron 1,000 millones de Polkadot pero solo lograron convertir aproximadamente $240,000 antes de que el precio colapsara—, los atacantes de Kelp DAO eligieron una ruta de "conversión en efectivo" más eficiente.

"El exploit de Kelp DAO muestra un patrón de riesgo claro en el DeFi moderno", dijo Dong. "Una vulnerabilidad en un puente entre cadenas no permanece aislada; se convierte en un problema para los mercados de préstamos. Al usar rsETH acuñado falsamente como garantía en Aave para pedir prestado WETH, el atacante convirtió un robo en un puente entre cadenas en deuda incobrable de Aave."

Dong señaló que los atacantes evitaron deliberadamente los mercados de Spot, donde órdenes de venta masivas habrían desencadenado deslizamiento de precios y una detección temprana. En cambio, al usar Aave como intermediario, transfirieron el riesgo al protocolo de préstamos.

"La seguridad en DeFi está interconectada", agregó Dong. "Los protocolos no pueden centrarse únicamente en sus propios contratos; deben considerar los riesgos que plantea cada dependencia en su sistema e implementar medidas defensivas en consecuencia."

En una actualización compartida horas después de que el ASC anunciara el congelamiento, Kelp DAO expresó su gratitud por la "acción decisiva" tomada por el consejo. Reconoció que la "coordinación y estructuración de la información" de SEAL 911 fue el factor clave que permitió a las partes interesadas actuar antes de que los hackers pudieran mover los $71 millones restantes en ETH fuera de la red Arbitrum.

A pesar del exitoso congelamiento, aproximadamente $220 millones siguen desaparecidos. Kelp DAO confirmó que su enfoque principal ahora es trabajar con Aave y otros socios para abordar la "deuda incobrable" creada por el exploit. La organización declaró que también buscará todas las vías disponibles para apoyar a los titulares de rsETH y restaurar el peg del protocolo.