Arbitrum fingió ser un hacker y 'robó' el dinero perdido por KelpDAO

marsbitPublicado a 2026-04-21Actualizado a 2026-04-21

Resumen

Arbitrum recuperó 70 millones de dólares en ETH robados a KelpDAO mediante una acción sin precedentes: su Consejo de Seguridad activó permisos de emergencia para actualizar temporalmente un contrato puente, permitiendo transferir los fondos del hacker (atribuido al grupo norcoreano Lazarus) a una dirección de custodia sin necesidad de su clave privada. La operación se ejecutó y revirtió en una sola transacción, sin afectar a otros usuarios. Aunque la comunidad elogia el resultado, algunos cuestionan la centralización de este poder (9 de 12 miembros pueden autorizar tales acciones). Quedan pendientes 220 millones de dólares en pérdidas no recuperadas en otras cadenas.

Autor: Deep Tide TechFlow

La semana pasada, KelpDAO fue hackeada y perdió casi 300 millones de dólares, convirtiéndose en el mayor incidente de seguridad negativo en DeFi este año hasta ahora.

El ETH robados ahora están dispersos en múltiples cadenas, de los cuales aproximadamente 30,765 permanecieron en una dirección en la cadena de Arbitrum, con un valor de más de 70 millones de dólares.

Se pensó que esta historia ya había terminado, pero hoy tuvo una secuela.

Según el monitoreo de la agencia de seguridad on-chain PeckShield, el dinero en la dirección del hacker en la cadena de Arbitrum fue transferido hace unas horas, pero extrañamente, fue enviado a una dirección extraña que parece ser casi toda ceros: 0x00000...

En ese momento, todos especulaban: ¿el hacker quemó su propio dinero enviándolo a una dirección negra (black hole)? ¿O tuvo un arrepentimiento de conciencia o fue reclutado?

Nada de eso.

Hace unas horas, el foro oficial de Arbitrum publicó un anuncio de acción de emergencia explicando la situación. El dinero del hacker fue transferido por el Consejo de Seguridad de Arbitrum.

Sin embargo, lo sorprendente es que, sin conocer la clave privada de la dirección del hacker, el consejo de Arbitrum no congeló el dinero ni tuvo permisos para transferirlo, sino que directamente emitió una instrucción de transferencia "en nombre del hacker".

El hacker no estaba al tanto, la clave privada no fue filtrada, y el registro on-chain pareció como si el hacker mismo lo hubiera operado.

El principio para lograr esta operación es que todos los mensajes de跨链 (cross-chain) entre Arbitrum y Ethereum deben pasar por un contrato de puente llamado Inbox. El Consejo de Seguridad utilizó permisos de emergencia para actualizar temporalmente este contrato, agregando una nueva función:

Emitir una transacción跨链 en nombre de cualquier dirección de billetera, pero sin necesitar la clave privada de esa billetera.

Luego usaron esta función para falsificar un mensaje, donde el remitente era la billetera del hacker, y el contenido decía "transfiere todo mi ETH a la dirección de congelación". La cadena de Arbitrum lo recibió y ejecutó como de costumbre, dando lugar a la escena extraña capturada en la screenshot de la transferencia on-chain mencionada anteriormente.

Después de transferir el dinero del hacker, este contrato fue revertido inmediatamente a su versión original. La actualización, la falsificación, la transferencia y la restauración se completaron todas empaquetadas en una sola transacción de Ethereum. Otros usuarios y aplicaciones no se vieron afectados en absoluto.

Esta operación no tiene precedentes en la historia de Arbitrum.

Según el anuncio del foro, el Consejo de Seguridad confirmó previamente la identidad del hacker con las autoridades, apuntando al Lazarus Group de Corea del Norte, el grupo de hackers a nivel nacional más activo en el campo de DeFi este año. El consejo realizó una evaluación técnica para asegurarse de no afectar a otros usuarios antes de actuar.

Dado que el hacker actuó mal primero, este movimiento tiene un poco de "no nos culpen por no seguir las reglas". En cuanto a cómo se manejarán los ETH congelados en el futuro, deberá pasar por una votación de gobernanza del DAO de Arbitrum y coordinarse con las autoridades.

Recuperar más de 70 millones de dólares en fondos robados es, por supuesto, algo bueno. Pero vale la pena prestar atención al requisito previo para lograr esto: 9 firmas de los 12 miembros del Consejo de Seguridad son suficientes para omitir todas las votaciones de gobernanza y actualizar cualquier contrato central on-chain con cero demora.

¿Elogiar el resultado, preocuparse por la capacidad?

Actualmente, la reacción de la comunidad está dividida.

Algunos piensan que Arbitrum actuó brillantemente, protegiendo los activos en un momento crucial, lo que incluso aumentó un poco la confianza en las L2. Otros hicieron una pregunta muy directa: si 9 personas pueden firmar para mover cualquier activo en nombre de cualquier persona, ¿eso todavía se llama descentralización?

En mi opinión, las dos partes en realidad no están hablando de lo mismo.

Los primeros hablan del resultado, los últimos de la capacidad. El resultado de este evento es definitivamente bueno: se recuperaron más de 70 millones de dólares en fondos robados. Pero la capacidad misma mostrada por Arbitrum esta vez de modificar funciones de contrato con multisignatura es neutral; usarla para perseguir hackers esta vez, para qué usarla en el futuro, si se puede usar y cómo, en realidad depende de la gobernanza del comité.

Sin embargo, para la mayoría de las personas que usan Arbitrum, esta discusión podría ser menos práctica que otro hecho. Arbitrum no es especial; actualmente, casi todas las L2 principales保留 (retienen) permisos de actualización de emergencia similares.

La cadena que usas también tiene un consejo de seguridad similar con capacidades similares. Esto ya no es una elección única de Arbitrum; las L2 en esta etapa casi todas tienen este diseño general.

Visto desde otro ángulo, esta ofensiva y defensa en realidad expuso un panorama más grande.

El atacante es el Lazarus Group de Corea del Norte, al que se le han atribuido al menos 18 ataques a DeFi este año. Hace tres semanas, acaban de robar 285 millones de dólares del Drift Protocol usando un método completamente diferente.

Por un lado, hackers a nivel nacional están actualizando constantemente sus métodos de ataque; por el otro, las L2 están comenzando a utilizar permisos de nivel inferior para contraatacar. La guerra de seguridad en DeFi está entrando en una nueva etapa, pasando de "congelar después del hecho, gritar on-chain, rezar por la intervención de sombreros blancos".

En tiempos excepcionales, forjaron una llave maestra para abrir la dirección del hacker, y luego fundieron la llave después de usarla. Solo por este evento, tener la capacidad de responder a los ataques de hackers no está mal.

Y si es necesario elevar el asunto a una discusión filosófica de "esto no es para nada descentralizado", entonces hay mucho de qué hablar. Las diversas operaciones centralizadas en la industria de las criptomonedas son numerosas; esta vez al menos se está manejando un evento negativo y resolviendo un problema, no creando uno.

Volviendo a ser pragmáticos, lo robado de KelpDAO fueron 292 millones, y se recuperaron poco más de 70 millones, menos de un cuarto del total. El resto del ETH todavía está disperso en otras cadenas, los más de 100 millones de dólares en deuda incobrable en Aave aún no tienen solución, y aún se desconoce cuánto recuperarán los tenedores de rsETH.

Incluso si Arbitrum utilizó permisos divinos, esta batalla claramente está lejos de terminar.

Preguntas relacionadas

Q¿Qué sucedió con los fondos de KelpDAO en Arbitrum después del ataque de hackers?

ALos fondos de KelpDAO en Arbitrum, valorados en más de 70 millones de dólares, fueron transferidos a una dirección de congelación por el Consejo de Seguridad de Arbitrum utilizando una función de contrato de puente actualizada temporalmente, sin necesidad de la clave privada del hacker.

Q¿Cómo logró Arbitrum transferir los fondos sin la clave privada del hacker?

AArbitrum actualizó temporalmente el contrato de puente Inbox, añadiendo una función que permitía enviar transacciones en nombre de cualquier dirección sin requerir su clave privada, simulando una operación del hacker para mover los fondos a una dirección de congelación.

Q¿Quién fue identificado como responsable del ataque a KelpDAO según Arbitrum?

AEl Consejo de Seguridad de Arbitrum identificó al grupo hacker Lazarus Group, vinculado a Corea del Norte, como responsable del ataque después de coordinar con agencias de aplicación de la ley.

Q¿Cuál fue la reacción de la comunidad ante la acción de Arbitrum?

ALa comunidad reaccionó de manera dividida: algunos elogiaron la recuperación de fondos, mientras otros expresaron preocupación sobre la centralización, ya que 9 de 12 miembros del consejo pueden actualizar contratos clave sin votación de gobernanza.

Q¿Qué implica este evento para la seguridad en DeFi según el artículo?

AEste evento marca una nueva fase en la seguridad de DeFi, donde los L2 utilizan permisos de emergencia para contraatacar hackeos, enfrentando grupos organizados como Lazarus Group, y revela que la mayoría de los L2 tienen capacidades similares de actualización de contratos.

Lecturas Relacionadas

Me tomó un año ver la cruda verdad sobre los pagos de Agentes

Después de un año trabajando en la infraestructura para la economía de agentes, el autor revela verdades poco alentadoras sobre los pagos de agentes. A pesar del gran interés y los recursos invertidos por empresas como Stripe, Visa y Coinbase, la demanda real y el volumen de transacciones son mínimos actualmente. El artículo analiza cuatro categorías principales: **Agente vs. Comerciante:** La experiencia de compra conversacional con IA a menudo es inferior a las interfaces visuales tradicionales de comercio electrónico para productos como ropa o electrónicos. Los comerciantes se están preparando para una posible adopción futura ("optimización para agentes"), pero no es una necesidad crítica actual. Las excepciones podrían ser compras de alta frecuencia y baja deliberación, como pedir comida, pero las plataformas principales no tienen API abiertas, y los costos de los modelos son prohibitivos para transacciones pequeñas. **Agente vs. API:** Los desarrolladores ya tienen soluciones para pagos de API de bajo valor (como saldos prepagos). Los principales proveedores de SaaS prefieren contratos empresariales a largo plazo en lugar de micropagos. Los protocolos descentralizados pueden servir al mercado de cola larga de servicios más pequeños, pero este nicho tiende a tener un bajo poder adquisitivo. **Agente vs. Agente:** Este es un caso de uso futuro prometedor para transacciones automatizadas entre máquinas, con requisitos únicos de velocidad y escala. Sin embargo, actualmente es en gran medida teórico, con un volumen de transacciones insignificante. **Agente vs. Finanzas:** Esta es la única categoría con demanda existente y clientes dispuestos a pagar, ya sea para automatizar flujos de trabajo financieros existentes o habilitar nuevas capacidades (como reequilibrar carteras en tiempo real). La competencia es dura debido a la regulación y las relaciones establecidas. La conclusión clave es que el problema central no es el pago en sí. El pago es solo un subcomponente de un desafío mayor: la **coordinación** entre agentes y humanos, la verificación del trabajo y la liquidación de resultados. Las empresas que resuelvan el problema de la coordinación a gran escala integrarán los pagos, y no al revés. Las grandes empresas pueden permitirse construir de manera defensiva para el futuro, pero las startups deben encontrar mercados reales y activos hoy en día.

链捕手Hace 19 min(s)

Me tomó un año ver la cruda verdad sobre los pagos de Agentes

链捕手Hace 19 min(s)

Claude Opus 4.8 encuentra un bug de 4.500 millones de dólares, la era de la IA está produciendo hackers en masa

Un investigador de seguridad descubrió un grave error en el protocolo Orchard de Zcash, el cual permitía la creación ilimitada de tokens, llevando a una caída del 50% en su valor. Este bug fue identificado utilizando Claude Opus 4.8 de Anthropic, un modelo de IA disponible públicamente. El caso destaca cómo la IA democratiza la ciberseguridad, reduciendo drásticamente el costo de encontrar vulnerabilidades. Modelos potentes y accesibles como Opus 4.8 permiten que tanto investigadores como potenciales atacantes descubran fallos complejos que antes requerían expertos dedicados. Esto genera una paradoja: un aumento masivo de informes de seguridad, muchos de baja calidad o falsos, que saturan a los mantenedores de software, a menudo voluntarios sin recursos. Simultáneamente, se exponen vulnerabilidades reales y antiguas en la base de nuestro mundo digital. La industria enfrenta una crisis de talento, con una escasez global de profesionales capacitados para analizar, priorizar y reparar estas fallas. Mientras la IA abarata el descubrimiento, la reparación sigue siendo costosa y requiere juicio humano experto. En esencia, la IA ilumina las grietas en los cimientos de nuestra infraestructura digital. La verdadera prueba será si contamos con suficientes personas dispuestas y capaces de repararlas, manteniendo la frágil cadena de confianza sobre la que se construye la vida en línea.

marsbitHace 53 min(s)

Claude Opus 4.8 encuentra un bug de 4.500 millones de dólares, la era de la IA está produciendo hackers en masa

marsbitHace 53 min(s)

Predicción del precio de Ethereum: ETH podría duplicarse mientras Cardano (ADA) y este nuevo token se acercan a una subida del 500%

El mercado de criptomonedas muestra señales de un nuevo impulso, con los inversores preparándose para el próximo ciclo alcista. Ethereum (ETH), una de las principales plataformas de contratos inteligentes, cotiza alrededor de $2,014.7. Los analistas sugieren que, en un mercado alcista hacia 2026, su precio podría duplicarse, superando los $4,000, lo que representa un fuerte retorno dada su gran capitalización de mercado. Por otro lado, Cardano (ADA) se negocia cerca de $0.2329. Los inversores que apuestan por su desarrollo basado en investigación y su escalabilidad a largo plazo lo ven con potencial de recuperación y crecimiento si mejora la actividad de su red. Mientras tanto, un nuevo proyecto, Little Pepe (LILPEPE), está ganando tracción. Se trata de una capa 2 compatible con Ethereum, actualmente en la etapa 13 de su preventa a un precio de $0.0022, y ha recaudado más de $28.19 millones. El proyecto busca ofrecer un ecosistema para comunidades de memes, con menores costes y mayor velocidad de transacciones. Algunos inversores anticipan un posible rally del 500%, llevando el precio a alrededor de $0.0132, basándose en la fuerte demanda de la preventa, las características de su ecosistema y su creciente comunidad. En conclusión, Ethereum sigue siendo una inversión sólida a largo plazo, Cardano tiene potencial de apreciación y Little Pepe emerge como un token anticipado para aquellos que buscan un alto potencial de crecimiento en el entorno de las capa 2 y los memes.

TheNewsCryptoHace 1 hora(s)

Predicción del precio de Ethereum: ETH podría duplicarse mientras Cardano (ADA) y este nuevo token se acercan a una subida del 500%

TheNewsCryptoHace 1 hora(s)

Guía del modo meta de Codex: Cómo hacer que la IA avance continuamente hacia un objetivo específico

**Guía del modo Objetivo de Codex: Cómo hacer que la IA avance hacia una meta concreta** El modo /goal de Codex transforma a la IA de asistente de código a agente ejecutivo que trabaja de forma continua hacia un objetivo claro. La clave no es escribir indicaciones extensas, sino definir criterios verificables de salida, como "reducir el tiempo de despliegue un 30%" o "lograr una cobertura de pruebas del 100%". Esto permite a Codex evaluar cuándo se completa la tarea y evitar bucles infinitos. Para maximizar su eficacia, es crucial: 1. **Establecer estándares claros y medibles**, preferiblemente con métricas numéricas. 2. **Proporcionar orientación** sobre herramientas, restricciones o áreas de enfoque para evitar desvíos. 3. **Permitir la medición del progreso**, dotando a Codex de herramientas para evaluar avances (por ejemplo, comparadores visuales para tareas de diseño). 4. **Crear un entorno realista** donde Codex pueda probar soluciones en condiciones cercanas a producción. 5. **Ser cauteloso con objetivos visuales** (como replicar un píxel perfecto), ya que pueden llevar a obsesionarse con detalles; es mejor usar listas funcionales o especificaciones de diseño. 6. **Seguir el progreso** mediante commits, PRs borradores, actualizaciones en Slack o documentos de estado. 7. **Revisar y consolidar los resultados** finales, eliminando intentos fallidos y optimizando el código generado. En resumen, /goal convierte a Codex en un "ejecutor de ingeniería" de larga duración, donde el rol del desarrollador evoluciona hacia la gestión de metas, configuración de entornos y supervisión de resultados.

marsbitHace 2 hora(s)

Guía del modo meta de Codex: Cómo hacer que la IA avance continuamente hacia un objetivo específico

marsbitHace 2 hora(s)

De Ethereum al 'CROPS' de la IA: ¿Qué son exactamente estas 'variables lentas' que Vitalik enfatiza repetidamente?

En los últimos meses, Vitalik Buterin ha mencionado repetidamente el acrónimo CROPS, un conjunto de principios fundamentales para Ethereum: Resistencia a la Censura (C), Resistencia a la Captura (R), Código Abierto (O), Privacidad (P) y Seguridad (S). Estos valores, formalizados por la Fundación Ethereum, guían el desarrollo hacia un ecosistema donde los usuarios mantengan soberanía sobre sus activos e identidad sin depender de intermediarios centralizados. La relevancia de CROPS se amplifica con el auge de la IA. A medida que los asistentes de IA gestionan más tareas digitales, incluyendo transacciones financieras, surge un riesgo crítico: si estos agentes operan en entornos centralizados y opacos, los usuarios pueden perder el control sobre su privacidad, activos y autonomía. Por ello, Vitalik plantea la necesidad de una "IA CROPS": sistemas que funcionen de manera local o privada, minimizando la dependencia de servicios en la nube y garantizando transparencia y seguridad, especialmente al interactuar con blockchains. Esto crea una intersección natural entre la "capa de acceso CROPS de Ethereum" y la "IA CROPS". Ambas buscan resolver un problema común: cómo acceder a servicios remotos (como RPCs de blockchain o modelos de lenguaje) sin sacrificar la privacidad. Soluciones como las llamadas LLM pagadas con pruebas de conocimiento cero o la lectura privada de RPCs de Ethereum son ejemplos de esta convergencia. En definitiva, CROPS trasciende un simple eslogan. Representa un marco crucial para el futuro, donde la combinación de Ethereum y la IA debe priorizar no solo la eficiencia, sino la preservación de los derechos fundamentales del usuario en un mundo digital cada vez más automatizado.

marsbitHace 2 hora(s)

De Ethereum al 'CROPS' de la IA: ¿Qué son exactamente estas 'variables lentas' que Vitalik enfatiza repetidamente?

marsbitHace 2 hora(s)

Trading

Spot
Futuros
活动图片

Categorías popularesright-arrow

Etiquetas Popularesright-arrow