#KelpDAOBridgeHacked

El hackeo del puente de KelpDAO: un golpe devastador a la seguridad de DeFi

El 18 de abril de 2026, el protocolo de restaking líquido KelpDAO sufrió una de las brechas de seguridad más catastróficas en la historia de DeFi, con atacantes drenando aproximadamente 116,500 tokens rsETH por un valor de entre $292 y $294 millones. Esta explotación ahora se mantiene como el mayor hackeo de DeFi de 2026, superando el récord anterior del $285 millones perdido por Drift Protocol a principios de mes.

El ataque se dirigió a la infraestructura del puente entre cadenas de KelpDAO, específicamente la vía del puente rsETH que conecta Unichain con la red principal de Ethereum. El protocolo dependía del estándar OFT de LayerZero para transferencias de tokens entre cadenas, pero una vulnerabilidad crítica residía en su arquitectura de seguridad. KelpDAO había configurado su puente con una red de Verificadores Descentralizados 1-de-1, lo que significa que un solo nodo verificador era responsable de validar todos los mensajes entrantes entre cadenas antes de liberar fondos. Este punto centralizado de fallo resultó ser el talón de Aquiles que los atacantes explotaron.

La metodología del ataque fue sofisticada y en varias etapas. Primero, los perpetradores comprometieron al menos dos nodos RPC que alimentaban datos al único verificador, inyectando malware diseñado para fabricar mensajes falsos entre cadenas. Luego lanzaron un ataque DDoS contra nodos RPC no afectados, forzando al sistema a cambiar a la infraestructura comprometida. Esto creó una cámara de eco donde los datos envenenados se convirtieron en la única fuente de verdad. El verificador comprometido aprobó posteriormente llamadas lzReceive falsificadas en el contrato EndpointV2 de LayerZero, acuñando y liberando 116,500 tokens rsETH no respaldados directamente a direcciones controladas por los atacantes. El malware luego se autodestruyó, borrando registros para ocultar la pista.

Las consecuencias se extendieron mucho más allá de KelpDAO. Los atacantes desplegaron inmediatamente el rsETH robado como colateral en al menos nueve protocolos principales de DeFi, incluyendo Aave V3 y V4, Compound V3, Euler, SparkLend, Fluid y Upshift, tomando prestado más de $236 millones en WETH. Posteriormente convirtieron aproximadamente $178 millones en ETH en la red principal de Ethereum y $72 millones en Arbitrum. El rsETH robado ahora permanece varado y sin respaldo en más de 20 redes blockchain, incluyendo Base, Arbitrum, Linea y Blast.

Este único exploit desencadenó una cascada de consecuencias sistémicas en todo el ecosistema DeFi. El Valor Total Bloqueado en los protocolos de finanzas descentralizadas cayó de $13 a $14 mil millones en 48 horas. Solo Aave experimentó una salida de depósitos por $6 a $8.45 mil millones, con su token nativo cayendo aproximadamente un 10% en valor. El incidente generó una deuda incobrable significativa en múltiples protocolos de préstamo y obligó a respuestas de emergencia en varias plataformas DeFi.

Los esfuerzos de respuesta comenzaron minutos después de la explotación. La multisig de KelpDAO pausó los contratos principales de rsETH en la red principal y en varias redes Layer-2 a las 18:21 UTC, aproximadamente 46 minutos después de la brecha inicial. Dos intentos posteriores de drenaje, que sumaron aproximadamente 40,000 rsETH cada uno, fallaron debido a estas medidas de protección. Aave congeló los mercados de rsETH en V3 y V4 en cuestión de horas, seguido por SparkLend, Fluid y Upshift. Lido pausó los depósitos de earnETH, mientras que Ethena suspendió temporalmente sus puentes LayerZero durante aproximadamente seis horas como medida de precaución, a pesar de no tener exposición directa.

El debate sobre la atribución entre KelpDAO y LayerZero se ha convertido en una narrativa central en las secuelas del incidente. KelpDAO sostiene que la configuración predeterminada de LayerZero contribuyó a la vulnerabilidad, mientras que LayerZero responde que KelpDAO implementó una configuración personalizada débil que se apartaba de las prácticas de seguridad recomendadas. LayerZero ha atribuido el ataque al Grupo Lazarus de Corea del Norte, citando evidencia forense que vincula la operación a este colectivo de hackers patrocinados por el estado. Los atacantes financiaron su billetera inicial a través de Tornado Cash aproximadamente diez horas antes de ejecutar la explotación.

Este incidente representa mucho más que una brecha de seguridad aislada. Expone debilidades fundamentales en cómo se diseñan y aseguran los puentes entre cadenas en el panorama DeFi. La dependencia de mecanismos de verificación de punto único de fallo, incluso cuando se etiquetan como descentralizados, crea superficies de ataque que adversarios sofisticados pueden explotar. El hecho de que tokens no respaldados puedan ser acuñados y aceptados inmediatamente como colateral en múltiples protocolos principales resalta los riesgos interconectados presentes en la composabilidad moderna de DeFi.

Para el ecosistema de criptomonedas en general, el hackeo de KelpDAO sirve como un recordatorio contundente de que la infraestructura de los puentes sigue siendo uno de los componentes más vulnerables de las finanzas descentralizadas. A pesar de numerosas auditorías y revisiones de seguridad, la complejidad de los protocolos de comunicación entre cadenas continúa presentando oportunidades para la explotación. El incidente ha reavivado debates sobre las compensaciones entre interoperabilidad y seguridad, con muchos en la comunidad pidiendo requisitos de firma múltiple más robustos y mecanismos de verificación descentralizados.

Mientras las investigaciones continúan y los protocolos afectados trabajan para contener el daño, la explotación de KelpDAO probablemente influirá en los estándares de seguridad y las mejores prácticas en la industria durante los próximos años. La magnitud de la brecha y sus efectos en cascada demuestran que, en un ecosistema DeFi cada vez más interconectado, la seguridad de los protocolos individuales está inextricablemente vinculada a la resiliencia de la infraestructura en la que confían.