Un atacante drenó 116.500 rsETH del puente LayerZero de Kelp DAO, provocando congelaciones de emergencia en nueve protocolos y una caída de $6.000M en el TVL de Aave.
Kelp DAO, un protocolo de liquid restaking con $1.570 millones en TVL, perdió aproximadamente $293 millones el 18 de abril después de que un atacante explotara una vulnerabilidad en su puente cross-chain impulsado por LayerZero, convirtiéndolo en el mayor exploit DeFi de 2026.
El atacante falsificó un mensaje cross-chain a través de la capa de mensajería de LayerZero, engañando al puente de Kelp para que creyera que había llegado una instrucción válida desde otra red. El puente liberó entonces 116.500 rsETH, aproximadamente el 18% del suministro circulante total del token, a una dirección controlada por el atacante.
En cuestión de minutos, los rsETH robados fueron depositados como garantía en el protocolo de préstamos de Aave, donde el atacante pidió prestados más de $200 millones en wrapped ether antes de que la comunidad detectara la garantía sin respaldo. Kelp activó los controles de emergencia aproximadamente 46 minutos después del exploit inicial, congelando depósitos, retiros, funciones de oracle y el propio token rsETH.
El daño se extendió mucho más allá de Kelp. Al menos nueve protocolos DeFi se apresuraron a congelar mercados o desplegar medidas de control de daños. Aave registró una caída de $6.000 millones en el valor total bloqueado, y su token AAVE cayó un 16% mientras los traders valoraban el riesgo de garantías sin respaldo en los pools de préstamos del protocolo.
El exploit pone de manifiesto las vulnerabilidades persistentes en la infraestructura de puentes cross-chain. A pesar de años de hackeos de puentes de alto perfil, la capa de mensajería de LayerZero, que sustenta la interoperabilidad de docenas de protocolos, resultó susceptible a instrucciones falsificadas. El incidente plantea nuevas preguntas sobre cómo los protocolos de liquid restaking gestionan la seguridad de los puentes a medida que se expanden por múltiples cadenas.
Los analistas sugieren que la vía de recuperación más realista implica negociar una recompensa del 10-15% con el hacker para devolver la mayor parte de los fondos robados. Kelp DAO afirma estar trabajando con LayerZero, auditores y firmas de seguridad para investigar la causa raíz. El fundador de Aave, Stani Kulechov, confirmó que los contratos inteligentes de Aave no fueron comprometidos, pero los mercados de rsETH en V3 permanecen congelados hasta que se resuelva la situación.
Esta es una historia en desarrollo. Kelp DAO ha instado a los usuarios a seguir solo los canales oficiales para actualizaciones mientras continúan los esfuerzos de recuperación.
A CAPO oracle misconfiguration on Aave caused 34 users to lose positions worth $27M, with full reimbursement pledged by the DAO.
Key Aave contributor BGD Labs will end all technical work on April 1, citing centralization concerns and friction with Aave Labs over v4 development.
The DeFi lending protocol faces internal conflict over brand control and fee allocation, triggering a whale sell-off while founder Stani Kulechov buys the dip.
Aviso legal: El contenido de noticias es solo para fines informativos y no debe considerarse asesoramiento financiero. Las condiciones del mercado pueden cambiar rápidamente. Siempre realiza tu propia investigación.
