Javier Bravezo Durán

The Arbitrum Security Council has taken emergency action to freeze the 30,766 ETH being held in the address on Arbitrum One that is connected to the KelpDAO exploit. The Security Council acted with input from law enforcement as to the exploiter’s identity, and, at all times, weighed its commitment to the security and integrity of the Arbitrum community without impacting any Arbitrum users or applications. After significant technical diligence and deliberation, the Security Council identified and executed a technical approach to move funds to safety without affecting any other chain state or Arbitrum users. As of April 20 11:26pm ET the funds have been successfully transferred to an intermediary frozen wallet. They are no longer accessible to the address that originally held the funds, and can only be moved by further action by Arbitrum governance, which will be coordinated with relevant parties.

Es bitcoin. No cripto. Porque todo lo que haces es ilegal en algún lugar del planeta. Si no tienes este corte de pelo 👇🏽en un país específico, eres sancionado por el estado y te pueden congelar todo (además de ir preso). Si incluso intentas comprar un chicle en Singapur, estás buscando entrar en la ilegalidad. Comprando biblias en algún país del medio oriente? Buscando problemas!

NO SOLO TETHER EN ARBITRUM SE PUEDE CONGELAR. SINO TAMBIÉN EL MISMO ETHEREUM. Arbitrum congeló y tomó los fondos robados del exploit de KelpDAO que afectó a AAVE. NO TUS LLAVES PRIVADAS, NO TUS MONEDAS. Solo funciona en bitcoin. No en cRiPtO. Después de años de decírtelo, te vas a enterar. ……… “El Consejo de Seguridad de Arbitrum ha tomado medidas de emergencia para congelar los 30,766 ETH que se mantienen en la dirección en Arbitrum One que está conectada con el exploit de KelpDAO. El Consejo de Seguridad actuó con aportes de las fuerzas del orden respecto a la identidad del explotador, y, en todo momento, sopesó su compromiso con la seguridad e integridad de la comunidad de Arbitrum sin impactar a ningún usuario o aplicación de Arbitrum.” ……… Léelo nuevamente. EL CONSEJO DE SEGURIDAD DE ARBITRUM CONGELÓ… ………. “Tras una diligencia técnica significativa y deliberación, el Consejo de Seguridad identificó y ejecutó un enfoque técnico para mover los fondos a un lugar seguro sin afectar ningún otro estado de cadena o usuarios de Arbitrum.” “A partir del 20 de abril a las 11:26 pm ET, los fondos han sido transferidos exitosamente a una billetera intermediaria congelada. Ya no son accesibles para la dirección que originalmente mantenía los fondos, y solo pueden ser movidos por una acción adicional de la gobernanza de Arbitrum, la cual será coordinada con las partes relevantes.” ……… Hacker toma tu dinero. “Nosotros lo tomamos de vuelta”. Todas estas Rube Goldberg machines de blockchains con contratos inteligentes y mamadas solo sirven para confundirte. Mejor era usar un banco que toda la mamada de cRiPtO, token, blockchain, web3 DeFi, si al final del día toma un click congelar tu dinero. En bitcoin no puede suceder esto: Bitcoin is rules without rulers. Shitcoins are rulers without rules. Por cierto, tu dios dijo que Arbitrum era de las más descentralizadas. Pero que se podía esperar de tu dios que no le importa la inmutabilidad (ver foto).

Arbitrum acaba de congelar y recuperar 30.766 ETH del exploit de KelpDAO El Arbitrum Security Council durante la madrugada de hoy, realizó una acción de emergencia y consiguió mover los fondos robados a una wallet congelada Esto lo han podido hacer por varios motivos: · Los rsETH estaban en una dirección de Arbitrum One · Con información de las autoridades, identificaron la dirección y congelaron los fondos · Lo $85M ya no están accesibles para el hacker · Estos fondos sólo se podrán mover mediante una votación futura de gobernanza (coordinada con las partes afectadas) Es la primera vez en la historia que Arbitrum realiza esta acción ¿A favor o en contra de que dentro de la descentralización se ejecuten acciones centralizadas para recuperar capital?

"so you staked your ETH on the Ethereum blockchain to earn yield?" "yes, Dave" "except you didn't want your capital to be locked up so you actually staked it with a liquid staking protocol called Lido?" "that's correct, Dave" "and Lido gave you a liquid staking receipt token called stETH in return?" "yes, Dave" "and then you didn't think that was enough, so you juiced the yield even further by depositing your stETH receipt tokens into a restaking protocol called Eigenlayer?" "you are correct, Dave" "and now you didn't want to lock up your capital, so you actually restaked with a liquid restaking protocol called KelpDAO who provided you with a liquid restaking receipt token called rsETH?" "you got it, Dave" "and then that was surely not enough juice, so you then deposited your rsETH tokens into a lending protocol called AAVE so that you could open a leveraged looping position that borrows ETH against the rsETH collateral and restakes the ETH into rsETH which is then deposited as collateral, except it turns out rsETH used a cross-chain bridge called LayerZero whose security is held together by a 1/1 toothpick, which was obviously hacked by north koreans causing rsETH to become undercollateralized and now these looping positions are stuck and unprofitable, and everyone is pointing fingers at each other, and also DeFi is a very serious industry" "you are 100% correct, dave" jfc.

rsETH: La "composibilidad" de DeFi a debate. Gran parte del ecosistema DeFi está impulsado por los llamados "restaking" y "Liquid staking". Esto no es otra cosa que la representación de un ETH bloqueado. Mientras que el restaking reutiliza el ETH bloqueado para respaldar otros servicios, el Liquid staking es la representación líquida del ETH bloqueado. Como se puede observar en DefiLlama, el top5 de protocolos por TVL comprende el "Liquid Staking", "Reestaking" y "Lending". Esto es importante ya que si eres un usuario avanzado de DeFi habrás podido comprobar que la mayor parte de la actividad gira entorno a estos productos para hacer "Looping", es decir, depositar LST o restaking con un rendimiento >2% APY y pedir prestado ETH/WETH con un tasa <1% APY. Esto genera una posición delta neutral en el activo obteniendo una rentabilidad neta positiva y abriendo un sinfín de posibilidades operativas. Ahora bien, por la estructura de los mercados DeFi, un evento negativo en cualquiera de los actores conlleva una cascada de efectos negativos para todos los participantes del ecosistema. Y esto, ocurrió el 18 de abril: Una transacción contra EndpointV2 de LayerZero en Ethereum ejecutó lzReceive y liberó 116.500 rsETH desde el contrato identificado como bridge/adaptador de Kelp/Kernel hacia una wallet atacante. El activo se usó como colateral en Aave en Ethereum y Arbitrum para pedir prestado ETH/WETH, que luego se consolidó en una wallet-hub. Es decir, el incidente se produjo en el "Bridge" y pasó al plano del riesgo crediticio y de deuda potencialmente incobrable. Nada más y nada menos que unos 290M$. Cronología de los hechos: Antes del exploit, varias direcciones del cluster reciben importes cercanos a 0,098 ETH desde la pool pública de 0,1 ETH de Tornado Cash. Esto evidencia el patrón de gas staging previo a la operación. 18 de abril de 2026, 17:31:11 UTC: el caller operativo ejecuta commitVerification sobre ULN302. 18 de abril de 2026, 17:35:35 UTC: se ejecuta lzReceive en EndpointV2; se liberan 116.500 rsETH desde el bridge hacia la wallet principal receptora. 17:37–17:42 UTC: la wallet receptora reparte el rsETH en siete tramos hacia wallets hermanas del cluster. 17:38–17:48 UTC: esas wallets aprueban rsETH, abren posiciones en Aave o puentean a Arbitrum mediante OFT para repetir allí el patrón de colateralización y préstamo. 17:44:47 UTC: una de las wallets principales envía 52.440,676 ETH al hub de consolidación. 18:04–18:39 UTC: siguen llegando paquetes adicionales de ETH al hub desde nodos secundarios del cluster. 18:21 UTC: Kelp pausa contratos; eso frena intentos posteriores. 19 de abril de 2026, 02:40 UTC: la wallet-hub mantenía aproximadamente 75.700 ETH en Ethereum y 30.765 ETH en Arbitrum, sin salidas confirmadas en la ventana analizada: 0x5d3919F12bCc35c26Eee5F8226A9bee90c257Ccc| 0xBb6A6006Eb71205e977eCeb19FCaD1C8d631C787 0x1F4C1c2e610f089D6914c4448E6F21Cb0db3adeF 0xeBA786C9517a4823A5cFD9c72e4E80BF8168129B 0xCBb24A6B4DAfaAA1a759A2F413eA0eB6AE1455CC 0x8d11AeAC74267DD5C56D371bf4AE1AFA174C2d49 Actores y repercusiones en el ecosistema DeFi. Kelp DAO: Es el el emisor afectado y el entorno de configuración donde rsETH operaba con una topología OFT cuyo adapter en Ethereum custodiaba el inventario principal. LayerZero: Es un protocolo de mensajería cross-chain, una infraestructura que permite que aplicaciones y activos se comuniquen entre distintas cadenas. En sus declaraciones han vinculado el ataque a la existencia de una configuración DVN 1/1, es decir, a un esquema con un único verificador de confianza. La propia documentación de LayerZero aconseja la existencia de varios verificadores para justamente evitar este tipo de ataques. Si bien LayerZero indica que no sufrió vulnerabilidad del núcleo y la seguridad modular evitó el contagio, apuntando a una "mal configuración" por parte de KelpDAO esto aún no está cerrado. Aave: Protocolo Lending para depositar y pedir prestado contra la garantía con mayor TVL del ecosistema. El impacto en Aave fue central porque el ataque convirtió rsETH robado en colateral funcional dentro del protocolo. La documentación on-chain describe un patrón repetido: recepción de rsETH, aprobación, depósito en Aave, préstamo de ETH/WETH y transferencia del ETH prestado hacia una wallet-hub. Esto supone que el riesgo se trasladó a la estructura de solvencia del sistema. Esa diferencia es brutal. Un activo puede no haber colapsado de precio aún y, aun así, haberse convertido ya en una mala garantía. El mercado tarda segundos en enterarse; la deuda queda incobrable. Además, rsETH no llegaba a esta crisis con un historial inmaculado: en 2025 ya había existido una congelación tras un bug de over-minting en infraestructura de Kelp, y análisis previos de riesgo habían señalado dependencia del bridge mainnet↔L2 y bridge risk. A esto, hay que añadir la guerra civil que se ha vivido en Aave en los últimos meses y que había propiciado la salida de equipos de riesgo, delegados, etc... La deuda incobrable en Aave. Aave tiene varios mecanismos para hacer frente a la deuda incobrable: - Umbrella: Es el mecanismo más reciente y consiste en el staking de WETH/USDC/USDT/GHO para responder de las deudas incobrables por separado, es decir, en este caso el módulo de WETH sería el que respondería primeramente con un slash parcial o total. He participado durante años en los foros de gobernanza de Aave y aún hoy no me queda claro el orden de prelación entre sistemas de garantía. En la actualidad este vault tiene un total staked de 55.52M$, lo cual es evidentemente insuficiente. - Módulo de seguridad: Los token holders pueden stakear Aave obteniendo un 2,70% APR a cambio de un riesgo de slash. Este módulo de seguridad lleva siendo criticado años, ya que se ha discutido y ahora se ha evidenciado que el rendimiento de 2,70%/5% a cambio de un riesgo de slash era irrisorio, teniendo en cuenta el conjunto de riesgos. En la actualidad este vault tiene 283,54M$. Un mayor rendimiento suponía una rápida dilución de los token holders y un rendimiento insuficiente hacia poco atractivo el staking. - Tesorería: En última instancia, la tesorería de la DAO podría llegar a soportar parte de la deuda incobrable y actualmente se encuentra formada por 84,9M$ en GHO/ETHcorrelated/BTCcorrelated y unos 51,3M$ en token AAVE. La decisión de Aave va a ser fundamental para la credibilidad del propio protocolo. La primera repercusión sistémica fue de confianza en la composibilidad, es decir, el problema no implicó necesariamente una rotura del restaking como mecanismo ni del token rsETH como unidad contable, pero sí cuestionó el backing cross-chain de sus representaciones y la capacidad para afectar a otros actores del ecosistema. La segunda fue operativa. Varios equipos pausaron rutas OFT o bridges relacionados mientras se investigaba el incidente. Esto prueba que el ecosistema interpretó que existía una superficie de riesgo compartida en configuraciones OFT o de mensajería cross-chain. Dicho de otro modo, la arquitectura modular puede aislar técnicamente un incidente, pero no puede impedir que el mercado lo trate como una alerta sectorial. La tercera fue poner en duda el diseño de riesgo. LayerZero recomienda configuraciones multi-DVN y desaconseja tratar una configuración de un solo DVN como apta para producción. También menciona mitigaciones como "rate limiting" por destino para OFTs con el objetivo expreso de reducir el radio de un ataque de estas características. Aunque esas medidas no hubieran evitado por sí solas el primer mensaje fraudulento, sí habrían podido reducir el tamaño del daño inicial. En infraestructuras composables, limitar el alcance debe ser parte central del sistema. La cuarta es conceptual. Un fallo en mensajería que acaba en DEX ya duele; uno que acaba en Aave o cualquier sistema de crédito toca el corazón del apalancamiento de DeFi. Y cuando el apalancamiento entra en escena, el incidente se eleva varios grados de magnitud, pero además, esto evidencia que DeFi aún no está preparado para ser un sistema "Automatizado"/ "Descentralizado". Nótese las comillas. Aún tenemos borradores, pero en el último al que he podido acceder el Título III de la CLARITY ACT introduce un marco regulatorio específico para DeFi y, aunque esto puede cambiar, el anteproyecto define criterios de descentralización muy claros: - "reglas o algoritmos automatizados, predeterminados y no discrecionales, sin depender de un intermediario para la custodia o control de los activos digitales involucrados" - “Non-decentralized finance trading protocol” se define como aquel protocolo supuestamente descentralizado que incurre en al menos una de varias condiciones de centralización. (A) existencia de una persona o grupo con capacidad, directa o indirecta, para controlar o alterar materialmente la funcionalidad, operación o reglas del protocolo (por acuerdo, contrato, control común, etc.) ; (B) que el protocolo no opere exclusivamente mediante reglas preestablecidas y transparentes en su código fuente (es decir, si requiere procesos opacos o discrecionales fuera del código) ; o (C) que alguna persona o grupo bajo control común tenga autoridad unilateral para restringir, censurar o prohibir el uso del protocolo o la actividad de usuarios en el sistema. Si cualquiera de estas condiciones se cumple, el protocolo no es considerado verdaderamente descentralizado según el anteproyecto. Las cargas regulatorias tienen un impacto tremendo, justamente esas cargas regulatorias que un protocolo descentralizado quiere evitar. Si bien parecería que esto iba a servir para acelerar la transición y no caer en la categoría Non-decentralized, sucesos como el ocurrido el 18 de abril nos pone los pies en la tierra y evidencia lo lejos que estamos aún de hacerlo posible o incluso la imposibilidad de hacerlo fuera del ecosistema Bitcoin.

Cypherpunk Jameson Lopp and other Bitcoin developers propose BIP-361 to freeze quantum vulnerable wallets. This could lock dormant BTC like Satoshi Nakamoto’s 1.1M coins, now worth $74B, before quantum computers can steal them.