#KelpDAOBridgeHacked

Explotación del Puente KelpDAO - 18 de abril de 2026: Qué ocurrió y estado actual

El 18 de abril de 2026, KelpDAO, un protocolo de restaking líquido, sufrió una de las mayores explotaciones DeFi del año cuando su puente entre cadenas fue comprometido. El atacante logró drenar aproximadamente 116,500 tokens rsETH, valorados en aproximadamente $292 millones en ese momento. Esto marca el mayor hackeo de criptomonedas de 2026 hasta ahora, superando la explotación del Protocolo Drift que ocurrió a principios de abril.

Cómo ocurrió la explotación

El ataque explotó una vulnerabilidad crítica en la infraestructura del puente de KelpDAO impulsada por LayerZero. El atacante envió un mensaje falsificado entre cadenas a la Adaptador OFT de KelpDAO en la red principal de Ethereum, afirmando falsamente que provenía de Unichain. La causa raíz fue una configuración severa incorrecta en la seguridad del puente. KelpDAO había implementado una configuración de Red de Verificadores Descentralizados (DVN) 1-de-1, confiando en un solo verificador de LayerZero Labs sin redundancia ni verificadores secundarios opcionales. Este enfoque de seguridad mínimo permitió que el mensaje falso pasara la validación sin ser cuestionado, activando la liberación de tokens rsETH no respaldados en la bóveda del puente hacia la cartera del atacante.

Es importante señalar que esto no fue un error en el protocolo LayerZero en sí. LayerZero V2 está diseñado para ser modular, permitiendo a los proyectos elegir su propia pila de verificadores. KelpDAO optó por la configuración de seguridad más mínima posible, lo que resultó catastrófico.

La estrategia DeFi de los atacantes

Una vez que el atacante obtuvo los rsETH no respaldados, los desplegó inmediatamente como colateral en múltiples protocolos DeFi para extraer el máximo valor. En los mercados de Aave V3 y V4 en Ethereum y Arbitrum, el atacante tomó prestados aproximadamente 52,834 WETH en Ethereum y 29,782 WETH más 821 wstETH en Arbitrum. Se observó actividad adicional de préstamos en los protocolos Compound y Euler, llevando el valor total extraído a más de ( millones. Los fondos robados fueron posteriormente lavados a través de Tornado Cash.

Respuesta inmediata y control de daños

KelpDAO detectó la explotación en aproximadamente una hora, gracias a la monitorización en cadena por investigadores de seguridad como ZachXBT. El protocolo pausó inmediatamente los puentes en Ethereum y otras cadenas soportadas, bloqueando con éxito dos intentos de ataque posteriores. KelpDAO emitió un comunicado público indicando apertura a negociaciones con el atacante en modo white-hat.

Aave respondió congelando los mercados de rsETH en V3 y V4 en Ethereum y Arbitrum. Otros protocolos, incluyendo SparkLend, Fluid y Upshift, también tomaron medidas preventivas. El incidente dejó a Aave con aproximadamente ) millones en deuda incobrable, principalmente en Arbitrum, aunque los mercados en la red principal de Ethereum permanecen colaterales pero en riesgo de efectos colaterales. Lido pausó las depósitos de earnETH como medida preventiva, mientras que Ethena y USDT0 pausaron sus puentes de forma preemptiva, a pesar de no tener exposición directa.

Emergieron riesgos secundarios ya que la utilización de ETH se disparó al 100% en Aave, lo que podría retrasar liquidaciones y crear desequilibrios en los incentivos de préstamo.

Estado actual e implicaciones

Al 19-20 de abril de 2026, los titulares de rsETH en puente enfrentan posibles recortes del 15-20% en espera de esfuerzos de recuperación. La comunidad de Aave está discutiendo activamente propuestas de gobernanza para la resolución de deuda incobrable, con debates en curso sobre si tratar las posiciones en Arbitrum y en la red principal de Ethereum por separado.

El incidente sirve como un recordatorio contundente para que los proyectos DeFi auditen sus configuraciones OApp e implementen configuraciones de múltiples DVN con 3-4 verificadores requeridos en lugar de depender de puntos únicos de fallo. Afortunadamente, ningún otro proyecto OFT de LayerZero ha sido afectado por esta vulnerabilidad específica.

Se espera que los investigadores de seguridad publiquen en los próximos días análisis completos de la causa raíz. Se recomienda a los usuarios monitorear los canales oficiales de KelpDAO, Aave y analistas de seguridad como ZachXBT para actualizaciones en tiempo real sobre la situación.