Kelp DAO sufre una explotación de puente de 292 millones de dólares en menos de una hora

El sábado a las 17:35 UTC, actores maliciosos extrajeron con éxito 116,500 tokens rsETH de la infraestructura puente integrada LayerZero de Kelp DAO, fugando con activos de criptomonedas valorados en aproximadamente $292 millones. ¡KelpDAO fue explotado y se robaron ~$294 millones! 🚨 El atacante acuñó 116.500 $RSETH (294 millones de dólares). Al vender $RSETH y usarlo como garantía para pedir prestado $ETH, el atacante obtuvo 106,467 $ETH ($250 millones). https://t.co/hSZZ7Teffv pic.twitter.com/0GfWLIX7rK — Lookonchain (@lookonchain) 19 de abril de 2026 El volumen comprometido representa aproximadamente el 18% de todo el suministro de tokens en circulación de rsETH, que totaliza 630.000 unidades según los análisis de CoinGecko. Kelp DAO opera como una plataforma de recuperación de líquidos que acepta depósitos de ETH, los canaliza a través de EigenLayer para mejorar la generación de rendimiento y distribuye rsETH como tokens de recibo transferibles a los depositantes. Hoy identificamos actividad sospechosa entre cadenas que involucra a rsETH. Hemos pausado los contratos rsETH en la red principal y en varias L2 mientras investigamos. Estamos trabajando con @LayerZero_Core, @unichain, nuestros auditores y los mejores expertos en seguridad en RCA. Lo mantendremos… – Kelp (@KelpDAO) 18 de abril de 2026 Los perpetradores explotaron vulnerabilidades en la infraestructura de comunicación entre cadenas de LayerZero, engañando al sistema para que procesara lo que parecían ser instrucciones legítimas entre redes. Esta manipulación provocó que el contrato puente de Kelp transfiriera fondos sustanciales a billeteras bajo el control del atacante. El equipo de respuesta a emergencias de Kelp activó mecanismos de pausa de protocolo en todos los contratos inteligentes principales a las 18:21 UTC, exactamente 46 minutos después de la infracción inicial. Se impidieron con éxito dos intentos de retiro posteriores dirigidos a 40.000 rsETH adicionales (un valor aproximado de $100 millones). Los análisis forenses de blockchain de la empresa de seguridad Cyvers revelaron que los activos robados se enrutaron a través de direcciones previamente financiadas a través de Tornado Cash. Aproximadamente 250 millones de dólares del rsETH comprometido ya se habían convertido a ETH en el momento del análisis. El contrato puente comprometido sirvió como reserva colateral que respalda las implementaciones envueltas de rsETH en más de 20 redes blockchain, incluidas Base, Arbitrum, Linea, Blast y Scroll. Con el respaldo de reserva eliminado, los titulares de rsETH en plataformas de capa 2 ahora enfrentan preguntas importantes sobre la garantía de tokens y las capacidades de canje. Aave implementó suspensiones inmediatas del mercado rsETH en las plataformas V3 y V4 pocas horas después de la detección de la infracción. El [[LINK_START_0]]token de Aave[[LINK_END_0]] experimentó una depreciación de aproximadamente el 10 % cuando los comerciantes tuvieron en cuenta los posibles riesgos de exposición a deudas incobrables. SparkLend y Fluid implementaron de manera similar la congelación del mercado de rsETH. Lido Finance suspendió los depósitos en su producto winETH debido a las tenencias de rsETH y enfatizó que su infraestructura de participación principal no se vio afectada. Ethena implementó suspensiones preventivas del puente LayerZero OFT de la red principal de Ethereum durante aproximadamente seis horas, aunque el protocolo confirmó cero exposición a rsETH. La declaración pública inicial de Kelp llegó a las 20:10 UTC, casi tres horas después del ataque. El protocolo confirmó la colaboración activa con LayerZero, Unichain, socios de auditoría y consultores de seguridad externos. El director ejecutivo de Cyvers, Deddy Lavid, caracterizó la infracción como una demostración de vulnerabilidades inherentes dentro de la arquitectura de componibilidad interconectada de DeFi. El Drift Protocol, que opera en Solana, sufrió aproximadamente 285 millones de dólares en pérdidas el 1 de abril a través de un ataque atribuido a actores de amenazas norcoreanos. Protocolos adicionales, incluidos CoW Swap, Zerion, Rhea Finance y Silo Finance, han experimentado compromisos de seguridad en las últimas semanas. Según los datos de Cyvers, las pérdidas combinadas de criptomonedas por exploits y esquemas fraudulentos alcanzaron aproximadamente $482 millones durante el primer trimestre de 2026. El incidente de Kelp DAO ahora ocupa la posición como la violación de seguridad DeFi más importante de 2026, superando marginalmente el compromiso del Protocolo Drift. Al momento de la publicación, Kelp no ha proporcionado detalles técnicos que expliquen cómo los atacantes eludieron la arquitectura de validación del puente.