#KelpDAOBridgeHacked El exploit de la puente KelpDAO representa un momento decisivo para la seguridad en DeFi entre cadenas, exponiendo vulnerabilidades críticas en la forma en que los protocolos de restaking líquido gestionan el respaldo de colaterales en múltiples cadenas. La pérdida de $292 millones de 116,500 rsETH de la puente de Kelp alimentada por LayerZero el 19 de abril de 2026, ahora se presenta como el mayor hack de DeFi del año y el segundo mayor exploit en puentes en la historia de las criptomonedas, superado solo por el robo de $625 millones en la red Ronin en 2022.

Comprender el vector de ataque requiere examinar la relación arquitectónica entre KelpDAO y LayerZero. Kelp funciona como un protocolo de restaking líquido, permitiendo a los usuarios depositar derivados de staking de ETH como stETH o cbETH a cambio de rsETH, un token que representa posiciones de restaking que generan rendimiento a través de EigenLayer. Para habilitar la circulación de rsETH en más de 20 cadenas, incluyendo Base, Arbitrum, Linea, Blast, Mantle y Scroll, Kelp utilizó el estándar de token fungible omnicanal (OFT) de LayerZero, que bloquea tokens en la red principal de Ethereum mientras emite representaciones envueltas en las cadenas de destino.

La sofisticación del exploit radica en su enfoque a nivel de infraestructura en lugar de vulnerabilidad en contratos inteligentes. Los atacantes, preliminarmente atribuidos al Grupo Lazarus de Corea del Norte y su subunidad TraderTraitor por LayerZero, ejecutaron una operación en múltiples etapas comprometiendo el mecanismo de verificación en sí. Primero infiltraron dos nodos RPC en los que el verificador de LayerZero confiaba para la validación de mensajes entre cadenas, reemplazando el software legítimo por binarios maliciosos diseñados para reportar datos de transacción fraudulentos de manera selectiva. Cuando el verificador de LayerZero consultó estos nodos comprometidos, recibieron confirmación de que una transferencia válida entre cadenas había ocurrido, aunque en realidad no existía tal transacción en la cadena fuente.

Comprometer solo dos nodos resultó insuficiente, ya que la arquitectura del verificador de LayerZero consulta múltiples puntos finales RPC para redundancia. Los atacantes desplegaron un ataque coordinado de denegación de servicio distribuido contra nodos externos no comprometidos entre las 10:20 a.m. y las 11:40 a.m. hora del Pacífico el sábado, forzando la conmutación a la infraestructura envenenada. Una vez que los nodos maliciosos se convirtieron en la única fuente de datos, instruyeron a la puente de Kelp a liberar 116,500 rsETH, aproximadamente el 18% del suministro en circulación, a direcciones controladas por los atacantes. El software malicioso posteriormente se autodestruyó, borrando binarios y registros locales para dificultar el análisis forense.

El factor habilitador crítico fue la decisión de Kelp de operar con una configuración de un solo verificador (1-de-1) a pesar de las recomendaciones explícitas de LayerZero para redundancia con múltiples verificadores. Bajo una configuración adecuadamente reforzada que requiere consenso entre varias redes de verificadores descentralizados (DVNs), comprometer un solo flujo de datos de verificador sería insuficiente para falsificar mensajes válidos entre cadenas. LayerZero confirmó que cada token y aplicación que utiliza el estándar OFT y que opera con configuraciones de múltiples verificadores permaneció completamente intacto, demostrando que el protocolo funcionó como se diseñó, mientras que las decisiones de seguridad de Kelp crearon la vulnerabilidad explotable.

Las consecuencias inmediatas desencadenaron efectos en cascada en los protocolos de DeFi que tenían exposición a rsETH. Aave, el mayor protocolo de préstamos con colateral en rsETH, enfrentó escenarios potenciales de deuda incobrable que oscilan entre $123 millones y $230 millones dependiendo de cómo Kelp gestione la falta. La estimación menor asume pérdidas distribuidas entre todos los poseedores de rsETH causando aproximadamente un 15% de despegue, mientras que la cifra mayor refleja concentración en redes de capa 2 si las pérdidas permanecen aisladas a despliegues no-Ethereum. El atacante depositó 89,567 rsETH en Aave como colateral, tomando prestado aproximadamente $190 millones en ETH y activos relacionados en Ethereum y Arbitrum, dejando al protocolo expuesto a colaterales con respaldo potencialmente deteriorado.

La respuesta de emergencia de Aave congeló los mercados de rsETH en V3 y V4 en pocas horas, estableció ratios de préstamo a valor en cero y detuvo nuevos préstamos contra el activo. A pesar de estas medidas, aproximadamente $6 mil millones en valor total bloqueado fue retirado de Aave mientras los usuarios reevaluaban los riesgos de infraestructura interconectada de DeFi. SparkLend, Fluid y Upshift también congelaron mercados de rsETH, mientras que Lido Finance pausó depósitos en su producto earnETH con exposición a rsETH. Ethena suspendió temporalmente sus puentes OFT de LayerZero como medida de precaución, aunque sin tener exposición directa a rsETH.

El ecosistema más amplio de DeFi experimentó efectos de contagio severos. El valor total bloqueado en protocolos de DeFi cayó $14 mil millones a aproximadamente $85 mil millones, alcanzando un mínimo de un año y marcando una caída del 50% desde los picos de octubre de 2025. Solo Aave vio alrededor de $10 mil millones en retiros de depósitos. La contracción del TVL en DeFi refleja no solo las pérdidas por el exploit directo, sino una reevaluación fundamental del riesgo en puentes entre cadenas, ya que los usuarios reconocen que los activos envueltos en capas 2 pueden carecer de respaldo completo cuando las reservas del puente son comprometidas.

La respuesta posterior de LayerZero tiene implicaciones significativas para los estándares de infraestructura entre cadenas. El protocolo anunció que ya no firmará mensajes para ninguna aplicación que opere con configuraciones de un solo verificador, forzando efectivamente una migración obligatoria hacia configuraciones de múltiples verificadores en todo el ecosistema. Este cambio de política transforma lo que antes era una recomendación de seguridad en un requisito a nivel de protocolo, potencialmente previniendo exploits similares pero también aumentando la complejidad operativa y los costos para las aplicaciones entre cadenas.

La dinámica de despegue de rsETH presenta riesgos continuos de mercado. Con las reservas del puente drenadas, los poseedores en despliegues no-Ethereum enfrentan incertidumbre sobre si sus tokens mantienen respaldo completo. Esto genera una presión reflexiva donde las redenciones de pánico en capas 2 podrían forzar a Kelp a deshacer posiciones de restaking para honrar retiros, potencialmente desencadenando más despegues y liquidaciones en cascada en los protocolos de préstamo. La multisig de pausa de emergencia de Kelp congeló los contratos principales 46 minutos después del drenaje inicial, pero dos intentos posteriores de exploit a las 18:26 UTC y 18:28 UTC, cada uno intentando drenar otros 40,000 rsETH por valor de aproximadamente $100 millones, solo fueron evitados por estas medidas de emergencia.

Desde una perspectiva de investigación en seguridad, el exploit demuestra la evolución de operaciones de robo cripto patrocinadas por estados. La infraestructura de Lazarus, que combina compromiso de nodos RPC con manipulación de failover DDoS, representa una sofisticación mucho mayor que exploits anteriores en contratos inteligentes. La intoxicación selectiva de datos que permaneció invisible para la infraestructura de monitoreo de LayerZero, que consulta los mismos RPC desde diferentes direcciones IP, muestra una avanzada técnica de seguridad operacional diseñada para evadir detección hasta la ejecución.

El incidente también resalta los riesgos sistémicos de la complejidad de los protocolos de restaking líquido. Al envolver derivados de ETH en staking a través de EigenLayer y luego enlazar representaciones envueltas en múltiples cadenas mediante LayerZero, rsETH creó una cadena de dependencia donde vulnerabilidades en cualquier capa, puente o mecanismo de verificación podrían comprometer toda la pila de colaterales. La pérdida de $292 millones supera los exploits combinados del mes anterior, incluido el exploit Drift de $285 millones el 1 de abril, estableciendo 2026 como un año récord para robos en DeFi con más de $600 millones robados en solo 20 días.

Para los participantes de DeFi, el exploit de KelpDAO requiere una reevaluación fundamental del riesgo de activos entre cadenas. Los activos envueltos en capas 2 solo son tan seguros como la infraestructura del puente, y la concentración de reservas de respaldo en puntos únicos de fallo crea vulnerabilidades sistémicas que atacantes sofisticados pueden explotar. La migración hacia configuraciones de múltiples verificadores, aunque mejora la seguridad, no puede eliminar las suposiciones de confianza inherentes en los puentes entre cadenas. Hasta que surja una comunicación entre cadenas verdaderamente sin confianza, los usuarios de DeFi deben valorar la prima de riesgo del puente al evaluar oportunidades de rendimiento en despliegues multicanal.