#KelpDAOBridgeHacked

El ecosistema de finanzas descentralizadas ha sido golpeado por una de sus brechas de seguridad más graves hasta la fecha, ya que Kelp DAO sufrió un exploit masivo que resultó en aproximadamente $292 millones en pérdidas. El ataque, que se desarrolló el 18 de abril, se dirigió a la puente cross-chain impulsada por LayerZero de Kelp DAO y llevó al robo de 116,500 tokens rsETH, enviando ondas de choque a través de múltiples protocolos DeFi.

Lo que hace que este incidente sea particularmente alarmante no es solo la escala de la pérdida, sino el impacto en cascada que ha desencadenado en todo el ecosistema, incluyendo al gigante de préstamos Aave, y la creciente disputa entre los proveedores de infraestructura sobre quién es responsable.

Cómo ocurrió el ataque
Los investigadores informan que el atacante financió su billetera usando Tornado Cash aproximadamente 10 horas antes de lanzar el exploit, un método común utilizado para ocultar los orígenes de las transacciones. Los análisis preliminares, incluyendo las ideas compartidas por el investigador de blockchain ZachXBT, sugieren una posible participación del Grupo Lazarus, un colectivo de hackers vinculado a Corea del Norte conocido por exploits sofisticados en DeFi.

La raíz técnica del ataque parece ser una compromisión de los nodos RPC utilizados dentro de la Red Verificada Descentralizada de LayerZero (DVN). Se alega que el atacante envenenó dos nodos validadores mientras lanzaba simultáneamente un ataque DDoS contra los demás. Esta interrupción permitió que un mensaje fraudulento cross-chain fuera validado.

Como resultado, el contrato de puente de Kelp DAO fue engañado para liberar 116,500 rsETH en la red principal de Ethereum, aunque los activos nunca fueron desbloqueados legítimamente.
Conflicto en aumento: ¿Quién es responsable?
Tras el exploit, estalló un acalorado juego de culpas entre Kelp DAO y LayerZero.

LayerZero argumenta que Kelp DAO utilizó una “configuración DVN 1-de-1”, lo que creó un punto único de fallo. Según LayerZero, las mejores prácticas de la industria recomiendan múltiples validadores independientes para prevenir exactamente este tipo de ataque. Aseguran que Kelp DAO ignoró las recomendaciones de diversificación.

Kelp DAO, sin embargo, rechaza firmemente esta afirmación. El equipo insiste en que la configuración 1-de-1 fue la configuración predeterminada proporcionada en la documentación de LayerZero para los despliegues tempranos de OFT. También argumentan que los representantes de LayerZero habían aprobado previamente la arquitectura, por lo que la responsabilidad no puede ser trasladada retroactivamente.

La contagiosa propagación a Aave
Las consecuencias se extendieron rápidamente más allá de Kelp DAO. El atacante depositó 89,567 rsETH en Aave como colateral y tomó prestado aproximadamente $190 millones en WETH y wstETH, exponiendo a Aave a un riesgo significativo de deuda incobrable.

Aave Labs estima pérdidas potenciales entre $124 millones y $230 millones, dependiendo de si las pérdidas se socializan entre los titulares o se aíslan a redes específicas.

En respuesta, Aave congeló inmediatamente los mercados de rsETH en varias versiones, redujo los parámetros de colateral a cero y activó controles de riesgo de emergencia. El token de gobernanza del protocolo, AAVE, cayó un 10%, mientras que más de $10 mil millones en TVL supuestamente abandonaron la plataforma en medio de retiros de pánico.

Acciones de gobernanza de emergencia
En Arbitrum, los validadores tomaron medidas rápidas congelando aproximadamente $71.1 millones en ETH vinculados al exploit. Los fondos fueron trasladados a una billetera segura en espera de decisiones de gobernanza, con posible reembolso a los usuarios en juego.
Las autoridades y los investigadores de seguridad también están involucrados en rastrear la identidad del atacante y el movimiento de fondos.

¿Qué pasa ahora?
Kelp DAO ha pausado todos los contratos de rsETH en múltiples cadenas, pero el problema principal sigue sin resolverse: el protocolo probablemente carece de reservas de tesorería suficientes para cubrir la pérdida de $292 millones.
Los escenarios de rescate posibles incluyen que LayerZero intervenga para proteger la reputación de su ecosistema, que Aave DAO utilice fondos de la tesorería para cubrir la deuda incobrable, o una pérdida socializada más amplia entre los titulares de rsETH. Sin embargo, ninguna de estas soluciones ha sido confirmada.

Por ahora, el incidente se mantiene como uno de los exploits DeFi más dañinos de 2026, exponiendo debilidades críticas en la infraestructura cross-chain y reavivando debates sobre descentralización versus seguridad en los sistemas criptográficos modernos.
📌 Detalle:
https://www.gate.com/announcements/article/50593
‍#GateSquare #CreatorCarnival #ContentMining #Gate13周年