Un atacante drenó 116,500 rsETH del puente LayerZero de Kelp DAO en el mayor exploit de DeFi de 2026, provocando congelaciones de emergencia en Aave, SparkLend y Fluid.
Kelp DAO perdió $292 millones en rsETH después de que un atacante explotara una vulnerabilidad en el puente entre cadenas impulsado por LayerZero del protocolo, convirtiéndolo en el mayor exploit de DeFi de 2026.
El 18 de abril, un atacante manipuló la capa de mensajería entre cadenas de LayerZero para engañar al puente de Kelp DAO y obligarlo a liberar 116,500 rsETH, aproximadamente el 18% de la oferta circulante del token. El drenaje ocurrió a las 17:35 UTC a través de una llamada a la función lzReceive en el contrato EndpointV2 de LayerZero, que activó el puente para liberar fondos a una dirección controlada por el atacante.
El multisig pausador de emergencia de Kelp congeló los contratos centrales del protocolo 46 minutos después, a las 18:21 UTC. Dos intentos de seguimiento a las 18:26 y 18:28 UTC, cada uno llevando paquetes LayerZero por otros 40,000 rsETH valorados en aproximadamente $100 millones, fueron bloqueados por la congelación. El atacante utilizó Tornado Cash para financiar la billetera inicial y luego colateralizó el rsETH robado en Aave V3 para pedir prestado ETH y WETH antes de enrutar las ganancias a través de Tornado Cash nuevamente.
El exploit es el mayor incidente de seguridad de DeFi de este año, superando el hack del protocolo Drift por varios millones de dólares. Más críticamente, el drenaje afectó las reservas de rsETH que respaldan el token en más de 20 redes, planteando preguntas sobre la solvencia de rsETH en cadenas de capa 2.
Aave, SparkLend, Fluid y Upshift congelaron los mercados relacionados con rsETH dentro de horas como medida de precaución. El precio del token AAVE cayó aproximadamente el 10% en las secuelas. El incidente añade presión fresca al debate sobre la seguridad de puentes entre cadenas, que ha sido un punto débil recurrente para DeFi desde los exploits de Wormhole y Ronin de años anteriores. El investigador en cadena ZachXBT señaló el exploit temprano y rastreó los movimientos del atacante a través de los mercados de préstamos de DeFi en Ethereum.
Kelp DAO aún no ha emitido un análisis post-mortem ni ha divulgado si hay un plan de recuperación en progreso. Las preguntas clave ahora son si el protocolo puede negociar una devolución de fondos, como algunos explotadores han hecho en el pasado, y cómo manejarán Aave y otros protocolos de préstamo la posible deuda incobrable creada por las posiciones de endeudamiento del atacante. El modelo de seguridad de LayerZero también está bajo escrutinio, ya que el ataque explotó la capa de mensajería en lugar de los propios contratos inteligentes de Kelp.
Esta es una historia en desarrollo. El exploit de Kelp DAO de $292 millones destaca los riesgos persistentes en la infraestructura de puentes entre cadenas, incluso mientras el ecosistema más amplio de DeFi continúa creciendo. Los usuarios afectados deben monitorear los canales oficiales de Kelp DAO para actualizaciones sobre los esfuerzos de recuperación de fondos.
Aviso legal: El contenido de noticias es solo para fines informativos y no debe considerarse asesoramiento financiero. Las condiciones del mercado pueden cambiar rápidamente. Siempre realiza tu propia investigación.
