El exploit a KelpDAO y la fragilidad estructural de los puentes blockchain. Reflexiones sobre responsabilidad

Por Matías Calderón

El 18 de abril de 2026, KelpDAO sufrió un exploit que comprometió aproximadamente 292 millones de dólares, sumándose a la lista de ataques a puentes blockchain que han drenado miles de millones de dólares en los últimos años. Más allá de la dimensión técnica del incidente, el caso plantea cuestiones que desafían tanto a desarrolladores de protocolos como a los sistemas legales, por ejemplo: ¿quién responde cuando un sistema diseñado para operar sin intermediarios centralizados genera daños patrimoniales?, ¿cómo se distribuyen las responsabilidades entre los distintos actores que participan en la infraestructura de interoperabilidad?, ¿qué mecanismos de protección y recuperación resultan efectivos en ecosistemas descentralizados?

El exploit de KelpDAO se produjo a través de una vulnerabilidad en la configuración del puente de rsETH basado en LayerZero. Para que un activo pueda transferirse entre blockchains, la red de destino debe verificar que el activo existe y ha sido bloqueado en la red de origen. Idealmente, esta verificación se realizaría mediante consulta directa a la blockchain original. Sin embargo, este proceso resulta técnicamente costoso y complejo.

En consecuencia, la mayoría de los puentes delegan esta función en intermediarios: validadores, oráculos o redes de mensajería entre cadenas. Este modelo introduce un riesgo crítico. En el caso de KelpDAO, los atacantes no comprometieron el código del puente en sí mismo, sino los nodos encargados de suministrar información al sistema. Al introducir una versión falsa de la realidad, lograron que el puente aceptara datos fraudulentos como válidos, liberando activos hacia direcciones bajo su control.

El puente funcionó según su diseño. La falla no radicó en un error de código, sino en una configuración que delega la verificación de datos críticos a terceros sin mecanismos adecuados de validación redundante. Este diseño genera un riesgo organizativo cuya distribución entre los distintos actores intervinientes debe ser evaluada conforme a criterios normativos, no meramente técnicos.

Así, el incidente ha derivado en un cruce entre las partes involucradas. KelpDAO ha señalado fallas en la infraestructura provista por LayerZero, mientras que desde LayerZero sostienen que el problema radicó en la configuración adoptada por el protocolo. A estas posturas se suma Arbitrum, cuyo entorno también fue utilizado en la ruta de dispersión de los fondos, apuntando responsabilidades hacia ambas partes.

Estas acusaciones plantean interrogantes sobre los criterios de imputación aplicables. No basta identificar al autor material del exploit para determinar quién debe responder patrimonialmente. Es necesario examinar qué actores ocupan posiciones institucionales que les permitían incidir en el diseño del sistema, qué deberes de diligencia asumieron en relación con la seguridad de la infraestructura y si la arquitectura implementada generó riesgos organizativos que debieron ser gestionados de manera distinta. La decisión de diseño, que incrementa el riesgo de comprometer el sistema, genera consecuencias que deben ser evaluadas conforme a estándares de diligencia y organización del riesgo.

Según el rastreo realizado por la firma de seguridad PeckShield, el atacante ha movido los fondos robados a través de múltiples blockchains, utilizando una ruta que parte desde Ethereum hacia Arbitrum, donde los fondos son convertidos en stablecoins como USDT, para luego ser enviados a la red Tron mediante la infraestructura de LayerZero. Este tipo de movimientos, que combinan puentes entre redes y swaps de activos, permite fragmentar el rastro y facilitar la movilidad del capital.

La trazabilidad on-chain permite seguir estos movimientos con un nivel de detalle imposible en sistemas financieros tradicionales. Sin embargo, la capacidad de rastreo no equivale a capacidad de recuperación. Los activos pueden ser bloqueados mediante congelamiento centralizados, como ha ocurrido parcialmente con fondos vinculados al ataque, pero esta facultad depende de la cooperación de emisores centralizados y no se extiende a activos descentralizados. La recuperación forzada de criptoactivos mediante órdenes judiciales enfrenta desafíos prácticos vinculados a la identificación del poseedor actual, la jurisdicción aplicable y los mecanismos de ejecución efectiva en ecosistemas que operan sin intermediarios centralizados. 

El caso de KelpDAO se inserta en un patrón más amplio de vulnerabilidades asociadas a la interoperabilidad entre redes. Los puentes entre cadenas han sido, desde hace años, uno de los puntos más vulnerables dentro del ecosistema DeFi, acumulando algunos de los mayores exploits del sector. Más allá del monto comprometido en cada incidente particular, esta recurrencia evidencia un problema estructural que no puede ser resuelto exclusivamente mediante mejoras técnicas incrementales.

Desde una perspectiva regulatoria, la fragilidad recurrente de los puentes blockchain plantea interrogantes sobre la necesidad de estándares mínimos de seguridad, auditorías obligatorias y mecanismos de garantía patrimonial para protocolos que gestionan volúmenes significativos de activos de terceros. El modelo actual, que confía en la autorregulación del mercado y en auditorías de seguridad voluntarias, ha demostrado ser insuficiente para prevenir la repetición de estos incidentes.

La regulación de protocolos DeFi y de infraestructura de interoperabilidad entre cadenas presenta desafíos comunes a distintas jurisdicciones. Exige conciliar objetivos de protección de usuarios y estabilidad financiera con la preservación de los beneficios de innovación y descentralización que estas tecnologías ofrecen. La delimitación de deberes de custodia, diligencia e información aplicables a protocolos que operan sin intermediarios centralizados pero que gestionan patrimonios significativos constituye un desafío regulatorio aún no resuelto satisfactoriamente en la mayoría de los sistemas. Los desafíos que plantea trascienden lo tecnológico y exigen respuestas jurídicas que aborden la imputación de responsabilidad, la protección patrimonial y la delimitación de deberes de diligencia en ecosistemas descentralizados.  

Los principios de responsabilidad por organización defectuosa, deberes de cuidado derivados de posiciones institucionales y gestión de riesgos organizativos no son ajenos. Su aplicación efectiva a arquitecturas descentralizadas exige, sin embargo, superar concepciones meramente formalistas y atender a criterios funcionales que identifiquen quiénes ejercen control efectivo sobre el diseño del sistema y quiénes asumen deberes de previsibilidad respecto de los riesgos que dicha arquitectura introduce.

La recurrencia de estos incidentes evidencia que el modelo de autorregulación técnica resulta insuficiente. El desarrollo de marcos normativos que establezcan estándares mínimos de seguridad y transparencia en la asignación de responsabilidades no implica sacrificar los beneficios de descentralización. Exige, más bien, reconocer que incluso los sistemas diseñados para operar sin intermediarios producen efectos que no pueden quedar en un vacío de protección.

SOBRE EL AUTOR:

Matías Calderón es abogado de C&L Abogados, especializado en regulación. Su práctica se enfoca en la intersección entre marcos legales tradicionales y nuevas tecnologías.

NOTA LEGAL:

Este artículo tiene fines exclusivamente informativos y académicos, y no constituye asesoría legal específica para casos particulares. Las implicancias jurídicas de exploits a protocolos DeFi, la recuperación de activos virtuales y la imputación de responsabilidad en estructuras descentralizadas presentan consideraciones técnicas y jurídicas que varían según las circunstancias de cada caso.