#KelpDAOBridgeHacked KelpDAO rsETH Puente Exploit: La Mayor Hackeo DeFi de 2026

El 18 de abril de 2026, KelpDAO, un destacado protocolo de restaking líquido con más de 1.300 millones de dólares en valor total bloqueado (TVL) antes del incidente, sufrió un exploit catastrófico dirigido a su infraestructura de puente entre cadenas. El ataque resultó en el robo de aproximadamente 116.500 tokens rsETH, valorados en unos 292-294 millones de dólares en el momento de la brecha, convirtiéndolo en el mayor exploit de finanzas descentralizadas de 2026 hasta la fecha.

El Vector de Ataque

El exploit se dirigió al puente rsETH de KelpDAO, impulsado por el protocolo de mensajería entre cadenas de LayerZero. Los atacantes identificaron y explotaron una vulnerabilidad crítica en la función lzReceive del EndpointV2 de LayerZero. La metodología involucró registrar un peer de testnet usando Unichain EID 30320 y explotar una configuración de Verificador Descentralizado (DVN) de 1 de 1 aprobación. Esto permitió al atacante crear y transmitir un mensaje fraudulento entre cadenas que eludía los protocolos de validación estándar, desencadenando la liberación no autorizada de rsETH desde la bóveda sin activos de respaldo legítimos.

El rsETH robado representaba aproximadamente el 18% del suministro total en circulación del token, causando preocupaciones sistémicas inmediatas en todo el ecosistema DeFi.

Contagio entre Protocolos y Crisis de Deuda Incobrable

En lugar de mantener los activos robados, el atacante desplegó rápidamente el rsETH sin respaldo como colateral en múltiples protocolos de préstamo, creando un escenario de deuda incobrable en cascada:

- Aave V3 (Ethereum): -52.834 WETH prestados
- Aave V3 (Arbitrum): -29.782 WETH más 821 wstETH prestados
- Compound V3 y Euler: Préstamos adicionales de entre 23 y 59 millones de dólares

La deuda incobrable total en los protocolos afectados superó $200 millones, ya que el colateral de rsETH se volvió efectivamente sin valor tras la pausa del protocolo. Esto marcó el incidente no solo como un exploit de puente, sino como un evento de contagio entre protocolos que puso a prueba la resistencia de la arquitectura interconectada de DeFi.

Impacto Inmediato en el Mercado

El exploit provocó reacciones significativas en el mercado y respuestas de emergencia a nivel de protocolo:

- El TVL de Aave cayó más de $7 mil millones debido a retiros masivos de ETH, con tasas de utilización alcanzando el 100% en los mercados afectados
- Caídas en tokens nativos: $AAVE se redujo aproximadamente un 20%, mientras que $ZRO (LayerZero) cayó alrededor del 30%
- Congelamientos de mercado de emergencia implementados en Aave V3, V4, SparkLend, Fluid y Upshift para colateral rsETH
- Lido Earn suspendió los depósitos de earnETH debido a preocupaciones por la exposición a rsETH
- Varios proyectos que utilizan puentes LayerZero iniciaron pausas preventivas

Aparecieron riesgos secundarios, incluyendo posibles fallos en liquidaciones de ETH, complicaciones en incentivos de préstamos USDT y exposición concentrada de deuda incobrable en la implementación de Aave en Arbitrum, que puede carecer de protección de cobertura integral Umbrella.

Respuesta de Emergencia y Estado Actual

El equipo de seguridad de KelpDAO respondió en aproximadamente una hora tras la detección, implementando una pausa en todo el protocolo a las 18:21 UTC del 18 de abril. Esta respuesta rápida bloqueó con éxito dos intentos de ataque posteriores. El equipo ha emitido declaraciones oficiales confirmando su apertura a negociaciones con white-hats y está realizando un análisis exhaustivo de la causa raíz en colaboración con LayerZero, Unichain y auditores externos.

La gobernanza de Aave ha iniciado discusiones sobre el despliegue de fondos y posibles préstamos para cubrir las deficiencias identificadas, con propuestas que incluyen aumentos en la tasa de ETH slope2 para gestionar el estrés del protocolo. Según el análisis de Chaos Labs, aproximadamente $177 millones de la deuda incobrable ha sido liquidada, aunque la exposición en Arbitrum aún no se ha resuelto.

Investigadores de blockchain, incluido ZachXBT, han rastreado los fondos robados hasta Tornado Cash, sin reportar recuperaciones exitosas hasta ahora. Los analistas proyectan posibles recortes del 15-20% para los poseedores de rsETH puenteados, mientras que KelpDAO está considerando mecanismos de socialización de pérdidas o estrategias de priorización para los titulares en mainnet.

Implicaciones para la Industria

Este incidente representa un punto de inflexión crítico para la seguridad de los puentes entre cadenas y la composabilidad del token de restaking líquido (LRT). El exploit resalta vulnerabilidades fundamentales en los parámetros de seguridad configurables de los puentes, particularmente los riesgos asociados con configuraciones simplificadas de DVN. El evento ha intensificado el escrutinio sobre los estándares de seguridad en la arquitectura de puentes y los riesgos sistémicos que plantean los protocolos DeFi altamente interconectados.

La brecha de KelpDAO supera el récord anterior de 2026, mantenido por el exploit de $280-285 millones del Drift Protocol del 1 de abril, subrayando una tendencia alarmante de ataques cada vez más sofisticados dirigidos a infraestructuras entre cadenas complejas. Con más de 1.200 millones de dólares en pérdidas en criptomonedas registradas en abril de 2026 en múltiples incidentes, incluido el ataque de secuestro de dominio de CoW Swap, la industria enfrenta una creciente presión para fortalecer la infraestructura de seguridad e implementar marcos de gestión de riesgos entre protocolos más robustos.

Se recomienda a los usuarios y participantes del mercado que monitoreen los canales oficiales de KelpDAO y Aave para actualizaciones continuas sobre los esfuerzos de recuperación de fondos, marcos de compensación y cronogramas de reapertura del protocolo.

#KelpDAO #DeFiSecurity #CryptoHack #BridgeExploit