#KelpDAOBridgeHacked

**Explotación del Puente KelpDAO: Un Análisis Completo del Hackeo DeFi de $292 Millones**

El 18 de abril de 2026, el ecosistema de finanzas descentralizadas presenció una de sus brechas de seguridad más significativas cuando se explotó el puente rsETH impulsado por LayerZero de KelpDAO, resultando en aproximadamente $292 millones en pérdidas. Este incidente ha enviado ondas de choque por el panorama DeFi, desencadenando una cascada de respuestas de emergencia en múltiples protocolos de préstamo y exponiendo vulnerabilidades críticas en la infraestructura de puentes entre cadenas.

**El Mecanismo de la Explotación**

Alrededor de las 17:35 UTC del 18 de abril, un atacante ejecutó una explotación sofisticada dirigida al puente rsETH de KelpDAO, que utiliza la tecnología de adaptador de Token Fungible Omnichain (OFT) de LayerZero. El atacante logró falsificar un mensaje entre cadenas mediante la función lzReceive, eludiendo efectivamente los mecanismos de validación en la red principal de Ethereum. Al suplantar la cadena de origen como Unichain (EID 30320), el atacante pudo liberar 116,500 tokens rsETH no respaldados del depósito en garantía del puente sin ningún depósito correspondiente en la cadena de origen.

La causa raíz de esta explotación se ha rastreado hasta una configuración frágil de la Red de Verificadores Descentralizados (DVN), que dependía de endpoints RPC limitados. Estos endpoints parecen haber sido comprometidos, alimentando datos de verificación falsos al contrato del puente. Notablemente, no ocurrió ninguna quema real de tokens en la cadena de origen, sin embargo, el puente acuñó erróneamente el equivalente en rsETH en la red principal de Ethereum. El hash de la transacción clave para esta explotación es 0x1ae232da212c45f35c1525f851e4c41d529bf18af862d9ce9fd40bf709db4222, que puede rastrearse en exploradores de blockchain como Routescan.

**Secuelas Inmediatas y Contagio en DeFi**

En lugar de simplemente mantener los rsETH robados, el atacante desplegó inmediatamente estos tokens no respaldados como colateral en múltiples protocolos de préstamo, transformando un problema de seguridad del puente en un evento de contagio sistémico en DeFi. Los rsETH robados fueron depositados en los mercados Aave V3 y V4 en Ethereum y Arbitrum, así como en Compound V3, Euler y aproximadamente 30 plataformas de préstamo más. Desde estas posiciones, el atacante tomó prestados aproximadamente 83,427 WETH y wstETH, con desglose específico mostrando 52,834 WETH prestados en Ethereum y 29,782 WETH más 821 wstETH en Arbitrum.

Esta estrategia de apalancamiento agresivo creó una exposición significativa a deudas incobrables en todo el ecosistema DeFi. Las estimaciones actuales sitúan las pérdidas potenciales entre $120 millones y $236 millones en los protocolos afectados, con Aave enfrentando la mayor exposición con potenciales $230 millones en deuda incobrable. La situación ha puesto una enorme presión sobre el token de gobernanza AAVE y ha planteado serias preguntas sobre las prácticas de gestión de riesgos de las principales plataformas de préstamo.

**Protocolos de Respuesta de Emergencia**

La respuesta a esta explotación fue rápida pero reactiva. Alrededor de las 18:21 UTC del 18 de abril, el multisig de emergencia de KelpDAO ejecutó un bloqueo en los contratos principales de rsETH en la red principal y en todas las redes Layer 2. Poco después, Aave decidió congelar los mercados de rsETH en las versiones V3 y V4, decisión que rápidamente fue replicada por Spark, Fluid, Ethena, Upshift, Morpho y numerosos otros protocolos.

Stani Kulechov, fundador y CEO de Aave, confirmó vía X que rsETH había sido congelado en Aave V3 y V4, y que el activo había sido despojado de todo poder de préstamo como respuesta directa a la explotación del puente KelpDAO. La cuenta oficial de Aave indicó que la comunidad debería discutir si rsETH debería ser eliminado permanentemente de todos los mercados de Aave una vez que la crisis inmediata se resuelva, siguiendo un patrón establecido tras eventos previos de deuda incobrable.

**Atribución y Análisis Técnico**

Investigadores de seguridad y firmas de análisis blockchain han atribuido este ataque al Grupo Lazarus de Corea del Norte, un colectivo de hackers patrocinado por el estado, conocido por atacar plataformas de criptomonedas. La metodología del ataque se alinea con las tácticas establecidas del Grupo Lazarus, incluyendo intrusiones pacientes, manipulación de mecanismos de confianza y supresión de capacidades de detección.

LayerZero Labs ha proporcionado detalles técnicos adicionales sobre el vector de ataque. Según su análisis, el atacante obtuvo acceso a la lista de endpoints RPC utilizados por su infraestructura DVN, comprometiendo posteriormente dos nodos independientes que operaban en clústeres separados sin conexión directa entre sí. El atacante luego reemplazó los binarios que ejecutaban los nodos op-geth, controlando efectivamente los datos de verificación alimentados a los contratos del puente.

Se informa que KelpDAO ha culpado a la infraestructura de LayerZero por la brecha de seguridad, mientras que LayerZero ha contraatacado diciendo que el problema provino de la configuración específica del DVN de KelpDAO. LayerZero mantiene que ellos y otras partes externas habían comunicado previamente las mejores prácticas respecto a la diversificación del DVN a KelpDAO, sugiriendo que una configuración adecuada podría haber prevenido la explotación.

**Impacto en el Mercado y Despegue de rsETH**

La explotación ha tenido consecuencias severas para la posición de mercado de rsETH. El token experimentó un despegue significativo de su ratio de respaldo en ETH, generando incertidumbre entre los holders en más de 20 redes blockchain donde se despliega rsETH envuelto. Con aproximadamente el 18% de la oferta circulante de rsETH ahora sin respaldo, la confianza en este derivado de staking líquido se ha visto gravemente afectada.

El ecosistema DeFi en general también ha sentido el impacto, con pérdidas totales por hackeo en 2026 que superan los $750 millones hasta mediados de abril. Esta explotación de KelpDAO superó el récord anterior de 2026, que era de $285 millones en un hackeo de Drift Protocol el 1 de abril, por varios millones de dólares. La concentración de exploits en puentes en 2026 ha puesto de manifiesto los desafíos de seguridad persistentes en la infraestructura entre cadenas.

**Estado Actual y Esfuerzos de Recuperación**

Al 21 de abril de 2026, tanto KelpDAO como LayerZero están colaborando activamente en un análisis exhaustivo de la causa raíz y un informe post-mortem. KelpDAO ha confirmado vía su cuenta oficial en X que están trabajando con LayerZero, Unichain, auditores de seguridad y expertos en blockchain para investigar el incidente y desarrollar un marco de recuperación.

LayerZero ha declarado que estaban al tanto del incidente desde que ocurrió y que están remediando activamente la situación junto con el equipo de KelpDAO. Han enfatizado que otras aplicaciones que utilizan la infraestructura de LayerZero permanecen seguras y que un análisis detallado post-mortem será publicado próximamente en colaboración con KelpDAO y el equipo de respuesta de seguridad SEAL 911.

Las direcciones del atacante, incluyendo 0x1F4C1c2e610f089D6914c4448E6F21Cb0db3adeF, han sido marcadas en exploradores principales de blockchain y están siendo monitoreadas activamente para detectar cualquier movimiento de los fondos robados. Sin embargo, dada la sofisticación del ataque y la participación de actores patrocinados por el estado, las perspectivas de recuperación siguen siendo inciertas.

**Conclusiones Clave**

Este exploit representa un momento decisivo para la seguridad en DeFi, demostrando cómo las vulnerabilidades en los puentes pueden desencadenar riesgos sistémicos en todo el ecosistema. El incidente subraya la importancia crítica de configuraciones robustas de DVN, mecanismos de verificación diversificados y gestión proactiva de riesgos en los protocolos entre cadenas. Para los usuarios, el evento sirve como un recordatorio contundente de los riesgos asociados con los activos envueltos y la naturaleza interconectada de los mercados de préstamos DeFi modernos.

La situación continúa evolucionando, con los protocolos afectados trabajando para cuantificar las pérdidas y desarrollar estrategias de remediación. Se recomienda a los usuarios monitorear los canales oficiales de KelpDAO, LayerZero y plataformas de préstamo afectadas para actualizaciones sobre posibles planes de reembolso o mecanismos de recuperación.