El Security Council de Arbitrum ha congelado 30.766 ETH —valorados en unos 71,5 millones de dólares— vinculados al exploit que vació las reservas de KelpDAO hace apenas una semana. La medida llega tarde. El atacante ya había movido más de 175 millones de dólares en Ethereum mainnet antes de que la red de capa 2 activara el bloqueo de emergencia.
El hack a KelpDAO, uno de los protocolos de restaking líquido más utilizados del ecosistema Ethereum, ha dejado un agujero de 292 millones de dólares. Es el mayor exploit DeFi de 2026 hasta la fecha, y plantea preguntas incómodas sobre la velocidad de respuesta de las infraestructuras de seguridad descentralizadas cuando el dinero empieza a moverse.
Cómo funcionó el exploit y qué hizo Arbitrum
El ataque explotó una vulnerabilidad en los contratos de depósito de KelpDAO que permitía drenar fondos de los pools de restaking sin las validaciones habituales. Los detalles técnicos completos aún no se han publicado —el equipo de KelpDAO sigue auditando el código con firmas externas—, pero los análisis on-chain preliminares apuntan a un fallo en la lógica de verificación de retiros.
El atacante actuó rápido. En las primeras horas movió el grueso de los fondos a Ethereum mainnet, donde las opciones de congelación son prácticamente inexistentes salvo intervención de los propios emisores de stablecoins o cooperación de exchanges centralizados. Cuando el Security Council de Arbitrum votó el bloqueo de emergencia, solo quedaban en la red los 30.766 ETH ahora congelados.
El mecanismo de congelación de Arbitrum es controvertido. Permite a un grupo reducido de firmantes —actualmente 12 miembros con un umbral de 9 firmas— bloquear direcciones específicas en situaciones de emergencia. Algunos lo ven como una salvaguarda necesaria; otros, como una centralización que contradice la tesis de las redes de capa 2 como extensiones trustless de Ethereum.
El hacker acelera el lavado en mainnet
Mientras Arbitrum debatía, el atacante trabajaba. Según datos on-chain recogidos por analistas de seguridad, los 175 millones en ETH que salieron hacia mainnet se han fragmentado en cientos de direcciones intermedias. Una parte significativa ha pasado ya por mixers como Tornado Cash —que sigue operativo pese a las sanciones de la OFAC— y otra se ha convertido en stablecoins a través de DEXs.
El patrón es el habitual en exploits de esta magnitud. Fragmentar, mezclar, convertir a activos más líquidos y esperar. Los hackers más sofisticados saben que el tiempo juega a su favor: cuanto más se diluya el rastro on-chain, más difícil será para los investigadores reconstruir el flujo completo.
KelpDAO ha publicado un comunicado ofreciendo una recompensa del 10% —unos 29 millones de dólares— si el atacante devuelve los fondos restantes. Es una práctica cada vez más común en el sector, una especie de negociación implícita que asume que recuperar algo es mejor que no recuperar nada. Hasta ahora, el hacker no ha respondido.
Las preguntas que deja el mayor exploit DeFi de 2026
Creo que este caso ilustra una tensión que el ecosistema DeFi no ha resuelto: la velocidad del capital versus la velocidad de la gobernanza. Un atacante puede mover cientos de millones en minutos. Un consejo de seguridad necesita horas para coordinar una respuesta, y para entonces el daño ya está hecho.
Los 71,5 millones congelados en Arbitrum son un éxito parcial. Representan menos del 25% del total robado. El resto circula por mainnet, fuera del alcance de cualquier mecanismo de bloqueo que no implique cooperación de entidades centralizadas como Tether, Circle o los exchanges.
El debate sobre si las L2 deben tener estos poderes de emergencia se reaviva con cada exploit. Arbitrum no es la única red con mecanismos similares —Optimism y zkSync también los tienen en distintas formas—, pero cada vez que se activan queda en evidencia que estas redes no son tan permissionless como sus usuarios asumen.
Para KelpDAO, el camino de recuperación será largo. El protocolo tenía más de 1.200 millones de dólares en TVL antes del ataque, según datos de DefiLlama. Ahora afronta no solo la pérdida directa, sino una crisis de confianza que podría acelerar la fuga de capital hacia competidores como EtherFi o Renzo.
El próximo hito relevante será la publicación del post-mortem completo, que el equipo de KelpDAO ha prometido para finales de esta semana. Ahí sabremos si el fallo era evitable con auditorías más rigurosas, o si estamos ante un vector de ataque genuinamente nuevo que otras plataformas de restaking deberían revisar con urgencia.
