La explotación de rsETH se ha convertido en una de las pruebas de estrés más definitorias para el DeFi moderno, exponiendo cuán frágil puede ser la infraestructura entre cadenas y cuán poderoso puede ser una respuesta coordinada cuando el sistema se lleva al límite.

#rsETHAttackUpdate

El exploit rsETH de KelpDAO que ocurrió el 18 de abril de 2026, representa un momento decisivo en las finanzas descentralizadas, exponiendo vulnerabilidades críticas en la infraestructura de cadenas cruzadas y demostrando al mismo tiempo la capacidad de la industria para responder de manera coordinada ante crisis. Este incidente, que resultó en la acuñación y despliegue de aproximadamente $292 millones en tokens rsETH no respaldados en múltiples protocolos de préstamo, requiere un examen exhaustivo desde perspectivas técnicas, económicas y sistémicas.

**Arquitectura técnica del exploit**

El ataque se dirigió al mecanismo fundamental de verificación de la infraestructura del puente impulsada por LayerZero de KelpDAO. El Adaptador OFT rsETH de KelpDAO en Ethereum fue configurado con una red de verificadores descentralizados 1-de-1, lo que significa que LayerZero Labs era la única entidad responsable de verificar los mensajes entre cadenas. Esta configuración, aunque simplificaba las operaciones, creó un punto único de fallo que resultó ser catastrófico.

La metodología del atacante revela un entendimiento sofisticado de las vulnerabilidades en la infraestructura blockchain. Primero, el atacante obtuvo la lista de nodos RPC utilizados por la DVN de LayerZero Labs. Luego, comprometió dos de estos nodos reemplazando los binarios legítimos de op-geth por versiones maliciosas que servían datos falsificados exclusivamente a las direcciones IP de la DVN, aparentando honestidad ante todos los demás observadores. Esta intoxicación selectiva permitió que los nodos maliciosos mantuvieran la apariencia de legitimidad mientras alimentaban información falsa a la infraestructura de verificación crítica.

La fase final involucró un ataque coordinado de denegación de servicio (DDoS) contra los nodos limpios restantes, forzando una conmutación total a la infraestructura comprometida. Con los nodos envenenados como la única opción disponible, el atacante envió un mensaje falsificado entre cadenas que afirmaba originarse del despliegue de Unichain de KelpDAO. La DVN confirmó este mensaje contra su vista fabricada del estado en cadena, se aprobó el quórum multisig 2-de-3, y el paquete falsificado fue certificado como válido, desencadenando la liberación de 116,500 rsETH a la dirección controlada por el atacante.

**El mecanismo de contagio**

Lo que distingue este exploit de hacks más simples en puentes es el uso sofisticado de la composabilidad en DeFi para amplificar el daño. En lugar de intentar vender los rsETH robados en mercados abiertos, lo cual habría desplomado el precio del token y limitado las ganancias del atacante, el perpetrador depositó los tokens no respaldados como colateral en múltiples protocolos de préstamo. Esta estrategia permitió extraer valor real del ecosistema mientras dejaba una deuda tóxica.

El atacante depositó 89,567 rsETH como colateral en Aave V3, tomando prestado aproximadamente $190 millones en WETH y wstETH. Se realizaron depósitos adicionales en Compound V3, Euler y otros venues de préstamo. Este enfoque explotó una asimetría fundamental en los préstamos DeFi: los protocolos aceptaron rsETH como colateral a su valor nominal, pero los tokens en realidad estaban sin respaldo y eran prácticamente sin valor. El resultado fue la creación de deuda incobrable que ahora figura en los libros de estos protocolos, con el ETH prestado representando valor real extraído de los depositantes.

**Evaluación del impacto económico**

Las ramificaciones financieras van mucho más allá del valor inicial de $292 millones del exploit. Solo Aave enfrenta escenarios modelados de deuda incobrable que van desde 123,7 millones de dólares bajo supuestos de depeg uniforme hasta 230,1 millones en escenarios de aislamiento Layer2. Los pools de WETH del protocolo ahora contienen aproximadamente $177 millones en deuda incobrable, representando ETH prestado usando rsETH robado como colateral. Esta deuda está fija en términos de ETH mientras que el colateral ha colapsado en valor, creando un desequilibrio irresoluble sin intervención externa.

El ecosistema DeFi en general experimentó efectos de contagio significativos. El Valor Total Bloqueado (TVL) de Aave cayó de aproximadamente $22 mil millones a 15,4 mil millones de dólares en 48 horas, lo que representa una caída del 30% a medida que los depositantes apresuraron a retirar fondos. Más de $7 mil millones en activos huyeron de los principales protocolos, con Aave solo viendo salidas por 6,2 mil millones de dólares. El token AAVE cayó aproximadamente un 11%, mientras que rsETH se cotiza con un depeg significativo, fluctuando entre 1,680 y 2,250 dólares en varias exchanges en comparación con su anclaje ETH previsto.

El vault EarnETH de Lido reveló una exposición indirecta de aproximadamente 21,6 millones de dólares en riesgo estratégico relacionado con rsETH, representando cerca del 9% del total de activos del vault. Esta revelación destaca cómo la naturaleza interconectada de las estrategias en DeFi puede transmitir riesgo entre protocolos aparentemente independientes.

**Respuesta unificada de DeFi**

La respuesta de la industria a esta crisis ha sido tanto sin precedentes como instructiva. Aave ha liderado la coordinación de lo que se ha denominado "DeFi United", un esfuerzo colaborativo de recuperación que involucra a múltiples protocolos importantes. Esta iniciativa representa una evolución significativa en la gobernanza de DeFi, pasando de respuestas aisladas de protocolos a una gestión de crisis coordinada a nivel de ecosistema.

Al 25 de abril, el DAO de Aave ha propuesto contribuir con 25,000 ETH de su tesorería para la recuperación. Esta contribución, valorada en aproximadamente 65-70 millones de dólares, busca cubrir el déficit restante de unos 75,081 ETH tras considerar compromisos existentes. El DAO de Lido ha propuesto contribuir con hasta 2,500 stETH, con múltiples "compromisos indicativos fuertes" formalizados por otros participantes del ecosistema, incluyendo EtherFi, Ethena y la red Mantle, que ha proporcionado una línea de crédito de 30,000 ETH.

El Consejo de Seguridad de Arbitrum ha congelado y transferido 30,766 ETH, valorados en aproximadamente $80 millones, desde una dirección de atacante identificada a una custodia segura, demostrando que una acción rápida de gobernanza puede mitigar parcialmente el daño incluso tras exploits sofisticados.

**Dimensión de atribución y geopolítica**

Chainalysis y LayerZero han atribuido el ataque al grupo Lazarus de Corea del Norte, específicamente al subgrupo TraderTraitor. Esta atribución añade una dimensión geopolítica al incidente, resaltando cómo actores patrocinados por estados están cada vez más dirigidos a protocolos DeFi como fuentes de financiamiento para regímenes sancionados. La participación de actores sofisticados de estados-nación representa una escalada en el panorama de amenazas que enfrenta las finanzas descentralizadas.

La atribución también ha generado controversia entre KelpDAO y LayerZero respecto a la responsabilidad del exploit. LayerZero sostiene que la configuración 1-de-1 de la DVN fue una elección de KelpDAO y no la opción predeterminada recomendada, mientras que KelpDAO argumenta que el verificador comprometido era parte de la infraestructura propia de LayerZero y que la configuración fue la opción predeterminada en la incorporación de LayerZero. Esta disputa subraya la complejidad de asignar responsabilidades en sistemas DeFi interconectados.

**Implicaciones sistémicas para DeFi**

El exploit rsETH revela varias vulnerabilidades críticas en la arquitectura actual de DeFi. Primero, la dependencia de configuraciones de punto único de fallo en puentes entre cadenas representa un riesgo inaceptable dado el monto en juego. La configuración 1-de-1 de la DVN que permitió este exploit debe servir como advertencia para todos los protocolos que utilizan infraestructura de cadenas cruzadas.

Segundo, el ataque demuestra cómo la composabilidad en DeFi, si bien habilita primitivas financieras poderosas, también crea mecanismos de transmisión de riesgo sistémico. La capacidad de depositar colateral en múltiples protocolos y extraer valor real contra activos sin respaldo genera efectos de amplificación que pueden convertir incidentes aislados en crisis a nivel de ecosistema.

Tercero, el incidente expone las limitaciones de las prácticas actuales de gestión de riesgos en los préstamos DeFi. La aceptación de rsETH como colateral con ratios altos de préstamo a valor, sin una consideración adecuada de los riesgos de seguridad en puentes, refleja una tendencia más amplia en la industria a subestimar los riesgos extremos en busca de rendimientos competitivos.

**Lecciones y consideraciones futuras**

El exploit rsETH probablemente influirá en el desarrollo de DeFi en los próximos años. Varias lecciones clave emergen de este incidente:

Las infraestructuras de cadenas cruzadas requieren supuestos de seguridad fundamentalmente diferentes a los de sistemas de cadena única. La complejidad de verificar el estado en múltiples cadenas crea superficies de ataque que actores sofisticados pueden explotar. Los protocolos deben implementar mecanismos redundantes de verificación y evitar puntos únicos de fallo en sus configuraciones de puente.

Los parámetros de riesgo para los activos colaterales deben incorporar evaluaciones de seguridad de los puentes. La práctica actual de tratar los activos en puente como equivalentes a sus contrapartes nativas ignora los riesgos adicionales introducidos por la infraestructura de cadenas cruzadas. Los protocolos de préstamo deberían aplicar ratios de préstamo a valor más bajos y límites de liquidación más altos para activos en puente.

El monitoreo en tiempo real y la aplicación de invariantes son esenciales para la detección temprana de exploits. El ataque rsETH podría haberse mitigado o prevenido mediante una verificación continua de que los tokens liberados en las cadenas de destino coincidan con los tokens quemados en las cadenas de origen. Sistemas de monitoreo de este tipo deberían convertirse en estándar para todos los protocolos de cadenas cruzadas.

La respuesta de DeFi United demuestra que la coordinación del ecosistema es posible y efectiva. Aunque la gobernanza descentralizada suele ser lenta, la respuesta a la crisis ha mostrado que los protocolos pueden coordinarse rápidamente cuando emergen amenazas existenciales. Esta capacidad de acción colectiva debería formalizarse mediante estándares de la industria y acuerdos de ayuda mutua.

**Conclusión**

El exploit rsETH representa tanto un fracaso como un éxito para las finanzas descentralizadas. El fracaso radica en las prácticas de seguridad inadecuadas que permitieron a un atacante sofisticado explotar vulnerabilidades fundamentales en la infraestructura de cadenas cruzadas. El éxito radica en la capacidad de la industria para coordinar una respuesta que, en última instancia, puede prevenir los peores resultados para usuarios y depositantes.

A medida que continúa el esfuerzo de recuperación y los protocolos implementan las lecciones aprendidas, es probable que este incidente sea recordado como un punto de inflexión en la maduración de DeFi. La transición de protocolos aislados a un ecosistema interconectado trae tanto oportunidades como riesgos, y el exploit rsETH sirve como un recordatorio contundente de que la seguridad debe evolucionar junto con la complejidad. Los próximos meses revelarán si la industria puede traducir estas lecciones en mejoras duraderas en la seguridad de cadenas cruzadas y en la gestión del riesgo sistémico.