Explotación en Kelp DAO drena 116,500 rsETH y desencadena congelamientos en DeFi
Un atacante extrajo 116,500 tokens rsETH (ether remarcado) del puente cross-chain de Kelp DAO el sábado, en un exploit valorado en aproximadamente 292 millones de dólares. El monto robado representa cerca del 18% del suministro circulante de este activo digital.
El incidente, que ocurrió a las 17:35 UTC, desencadenó una serie de congelamientos de emergencia en protocolos de finanzas descentralizadas (DeFi) como Aave, SparkLend, Fluid y Upshift.
Mecanismo del ataque y respuesta
El ataque se ejecutó explotando la capa de mensajería cross-chain de LayerZero. El atacante engañó al sistema para que creyera que había recibido una instrucción válida desde otra red, lo que provocó que el puente de Kelp liberara los fondos.
El multisig de pausa de emergencia del protocolo congeló los contratos principales 46 minutos después del drenaje inicial, a las 18:21 UTC. Se registraron dos intentos posteriores de extraer otros 40,000 rsETH, valorados en unos 100 millones de dólares, pero ambos fueron revertidos.
Impacto en el ecosistema y contagio
El rsETH robado formaba parte de la reserva que respaldaba las versiones envueltas del token desplegadas en más de 20 cadenas de bloques, incluyendo Base, Arbitrum, Linea, Blast, Mantle y Scroll.
La pérdida de esta reserva plantea interrogantes sobre el respaldo de los tokens rsETH en redes de capa 2, lo que podría generar presión por retiros masivos. Esto, a su vez, podría forzar a Kelp a deshacer posiciones de restaking en la red blockchain Ethereum para cumplir con las obligaciones.
Entre las consecuencias inmediatas:
- Aave congeló los mercados de rsETH en sus versiones V3 y V4.
- SparkLend y Fluid también suspendieron sus mercados con este activo.
- El token AAVE registró una caída de aproximadamente un 10%.
Contexto y declaraciones
Kelp DAO, un protocolo de restaking líquido bajo el paraguas de KernelDAO, emitió su primer comunicado público casi tres horas después del exploit. La organización indicó que está investigando el incidente junto con LayerZero, Unichain, sus auditores y especialistas en seguridad externos.
El fundador de Aave, Stani Kulechov, afirmó que la explotación fue externa y que los contratos de su protocolo no fueron comprometidos.
Con una pérdida de 292 millones de dólares, este evento se convierte en el exploit DeFi más grande registrado en 2026, superando los 285 millones de dólares drenados del protocolo Drift a principios de abril.
El hackeo ocurre en un período de actividad hostil para el sector DeFi, donde al menos una docena de protocolos más pequeños han reportado vulnerabilidades en las últimas semanas.