El exploit Kelp de 292 millones de dólares: cómo sucedió y qué significa para DeFi
Un exploit de aproximadamente 292 millones de dólares durante el fin de semana ha sacudido a la industria de la criptografía, exponiendo vulnerabilidades en la infraestructura de finanzas descentralizadas (DeFi) y generando preocupaciones sobre los efectos en cadena en los protocolos de préstamos.
Si bien las investigaciones aún están en curso, los primeros análisis sugieren que el ataque se centró en el token rsETH de Kelp, una versión de ether ($ETH) que genera rendimiento, y el mecanismo utilizado para mover activos entre cadenas de bloques.
El atacante parece haber manipulado ese sistema para crear grandes cantidades de tokens sin el respaldo adecuado, y luego los utilizó rápidamente como garantía para pedir prestado y drenar activos reales de los mercados de préstamos, principalmente de Aave, el mayor prestamista de criptomonedas descentralizado.
El incidente es el último golpe a DeFi, y se produjo solo un par de semanas después de la explotación de 285 millones de dólares del protocolo Drift basado en Solana, lo que afectó aún más la confianza de los inversores en el sector criptográfico de casi 90 mil millones de dólares.
Cómo funcionó el ataque
En un nivel alto, el exploit apuntó a un componente de puente LayerZero, una pieza de infraestructura que permite que los activos se muevan a través de diferentes blockchains, dijo a CoinDesk en una nota Charles Guillemet, CTO del fabricante de billeteras de hardware Ledger.
Los puentes suelen funcionar bloqueando activos en una cadena y acuñando tokens equivalentes en otra. Ese proceso depende de una entidad confiable, a menudo llamada oráculo o validador, para confirmar los depósitos.
En este caso, Kelp actuó efectivamente como ese verificador. Según Guillemet, el sistema se basaba en una configuración de firmante único, lo que significa que una sola entidad podía aprobar cualquier transacción.
"Parece que el atacante pudo firmar un mensaje... que le permitió acuñar una gran cantidad de rsETH", dijo. Añadió que aún no está claro cómo se obtuvo ese acceso.
Michael Egorov, fundador de Curve Finance, señaló la misma debilidad en la configuración del sistema.
"Las cosas pueden suceder cuando se confía en una sola parte, sea quien sea".
Esa configuración permitió al atacante crear efectivamente tokens sin respaldo, aunque no había activos correspondientes bloqueados en la cadena de origen.
Una vez acuñadas, las fichas se desplegaron rápidamente. El atacante "los depositó inmediatamente en protocolos de préstamos, principalmente en Aave, para pedir prestado $ETH reales", explicó Guillemet.
Esa maniobra transformó el problema de un único exploit a una cuestión de mercado más amplia. Las plataformas de préstamos DeFi ahora se quedan con garantías que pueden ser difíciles de deshacerse, mientras que los activos valiosos y líquidos ya están agotados.
"Aave se quedó con rsETH que realmente no se puede vender y tomar prestado [sic] $ETH, por lo que nadie puede retirar $ETH", dijo Egorov de Curve.
Como resultado, Aave y otros protocolos de préstamos pueden tener cientos de millones de dólares en garantías cuestionables y deudas incobrables, advirtió, lo que genera preocupaciones sobre una posible dinámica de "corrida bancaria" a medida que los usuarios se apresuran a retirar fondos.
Aave experimentó una caída de alrededor de $ 6 mil millones en activos en el protocolo cuando los usuarios retiraron sus activos después del incidente. El token asociado con el protocolo bajó aproximadamente un 15% en las últimas 24 horas.
Lo que todavía no sabemos
Quedan preguntas clave sobre cómo se vio comprometido el validador. El sistema dependía del nodo oficial de LayerZero, lo que genera incertidumbre sobre si fue pirateado, mal configurado o engañado.
"¿Fue pirateado? ¿Fue engañado? No lo sabemos", dijo Egorov.
También se desconoce la identidad del atacante, aunque Guillemet dijo que la escala del ataque sugiere que se trata de un actor sofisticado.
"Claramente no son algunos niños del guión", dijo.
Gran golpe para la confianza en DeFi
Más allá de las pérdidas inmediatas, el exploit del episodio sirve como otro recordatorio de que a medida que DeFi se vuelve más interconectado, las fallas en una capa pueden afectar rápidamente a todo el sistema.
Egorov argumentó que los modelos de préstamos no aislados, en los que los activos comparten el riesgo entre grupos, amplifican el impacto de tales eventos.
También señaló deficiencias en la forma en que se incorporan nuevos activos a las plataformas de préstamos, diciendo que configuraciones como la configuración del verificador 1 de 1 de Kelp deberían haberse señalado antes.
Sin embargo, Egorov dijo que hay un lado positivo. "Las criptomonedas son un entorno hostil al que ningún banco habría sobrevivido; sin embargo, estamos trabajando en ello", dijo. "Creo que DeFi aprenderá de este incidente y se volverá más fuerte que antes".
Aún así, incluso cuando incidentes como este conducen a actualizaciones y rediseños de protocolos, también erosionan la confianza de los inversores en el sector DeFi en general.
"En general, la confianza en los protocolos DeFi se ve erosionada por este tipo de eventos", dijo Guillemet.
"Y 2026 probablemente volverá a ser el peor año en términos de hackeos", añadió.
Leer más: 'DeFi está muerta': la comunidad criptográfica se agita después de que el mayor hackeo de este año exponga riesgos de contagio