#KelpDAOBridgeHacked

El 18 de abril de 2026, Kelp DAO fue víctima del mayor exploit de criptomonedas del año cuando hackers drenaron aproximadamente entre 292 y 294 millones de dólares de su infraestructura de puente entre cadenas. El ataque se dirigió al puente impulsado por LayerZero del protocolo, que permite la transferencia de tokens rsETH (Ether en restaking) a través de múltiples redes blockchain. Este incidente representa una brecha significativa en el ecosistema de finanzas descentralizadas y ha enviado ondas de choque por toda la comunidad cripto.

Qué es Kelp DAO

Kelp DAO funciona como un protocolo de restaking líquido que permite a los usuarios depositar tokens de staking populares como stETH o cbETH a cambio de tokens rsETH. Estos tokens rsETH representan "Ether en restaking", permitiendo a los usuarios obtener rendimientos sobre sus inversiones en criptomonedas inactivas mientras mantienen la liquidez. La infraestructura del puente del protocolo, construida con tecnología LayerZero, facilita el movimiento de estos tokens a través de más de 20 redes blockchain diferentes, incluyendo Base, Arbitrum, Linea, Blast, Mantle y Scroll.

El Mecanismo del Ataque

El exploit ocurrió mediante una manipulación sofisticada del sistema de mensajería entre cadenas. Los atacantes lograron enviar mensajes falsos entre redes que parecían instrucciones válidas, lo que activó el sistema para transferir 116,500 tokens rsETH a la dirección del atacante. Esta cantidad representaba aproximadamente el 18% del suministro circulante total de rsETH en el momento del ataque.

Expertos en seguridad de Cyvers explicaron que el atacante explotó vulnerabilidades en la validación de estado y en el paso de mensajes para eludir las medidas de seguridad y extraer colaterales. La técnica permitió la creación de tokens rsETH sin respaldo, que luego se usaron para pedir prestado activos reales como ETH. Este mecanismo demuestra cómo los exploits en puentes entre cadenas pueden escalar rápidamente, creando no solo una brecha en un solo protocolo sino un evento de contagio entre múltiples plataformas simultáneamente.

Respuesta Inmediata y Control de Daños

Al detectar actividad sospechosa entre cadenas que involucraba rsETH, Kelp DAO pausó inmediatamente todos los contratos de rsETH en la red principal de Ethereum y varias redes de capa 2. El protocolo coordinó con LayerZero, Unichain, auditores y expertos en seguridad para realizar un análisis de causa raíz. Esta respuesta de emergencia ayudó a contener daños adicionales, pero no pudo revertir los activos ya robados.

El ataque activó congelaciones de emergencia en varias plataformas DeFi. Aave, el mayor protocolo de préstamos DeFi, congeló sus mercados de rsETH tanto en Ethereum como en Arbitrum para evitar una mayor exposición a deudas incobrables. Estimaciones de la industria sugieren que Aave podría enfrentar pérdidas potenciales que oscilan entre $123 millones y $230 millones de dólares debido a este incidente. Lido reportó aproximadamente 21.6 millones de dólares en exposición a través de posiciones apalancadas y señaló que podría utilizar un buffer de pérdida de $3 millones para mitigar daños.

Atribución e Investigación

Varias fuentes han atribuido el ataque a hackers norcoreanos, específicamente al Grupo Lazarus, también conocido como TraderTraitor. LayerZero identificó que el 18 de abril, los atacantes dirigieron su objetivo a su DVN (Red de Validadores Descentralizados) mediante envenenamiento de la infraestructura RPC descendente. Los atacantes accedieron a la lista de RPC utilizados por el DVN, comprometieron dos nodos independientes que operaban en clústeres separados y reemplazaron los binarios que ejecutaban los nodos op-geth.

Esta atribución coincide con el patrón establecido por Corea del Norte de atacar plataformas de criptomonedas. Según datos disponibles, hackers norcoreanos robaron más de $2 mil millones en criptomonedas durante 2025, sumando aproximadamente $6 mil millones desde 2017. Expertos en seguridad señalan que este ataque demuestra el enfoque familiar de Corea del Norte de intrusión paciente, manipulación de confianza y supresión de detección.

El Juego de la Culpa: Kelp DAO vs LayerZero

Tras el incidente, surgió una disputa entre Kelp DAO y LayerZero respecto a la responsabilidad por la brecha de seguridad. Kelp DAO afirmó que la configuración predeterminada de LayerZero fue la causa real del desastre masivo, sugiriendo que las decisiones de configuración del proveedor de infraestructura crearon la vulnerabilidad. LayerZero contrarrestó diciendo que la configuración específica de Kelp DAO fue la culpable y enfatizó que previamente habían comunicado las mejores prácticas para la diversificación del DVN a Kelp DAO.

Esta desacuerdo resalta la complejidad de la responsabilidad en las finanzas descentralizadas, donde múltiples partes contribuyen a la infraestructura de seguridad de protocolos interconectados. El incidente plantea preguntas importantes sobre la asignación de responsabilidades entre desarrolladores de protocolos y proveedores de infraestructura en el ecosistema DeFi.

Implicaciones Más Amplias para DeFi

El hackeo de Kelp DAO ha llevado las pérdidas totales por exploits en DeFi en abril de 2026 a más de $600 millones, convirtiéndose en uno de los meses más dañinos en la historia de las criptomonedas. Este incidente sigue de cerca al exploit del Drift Protocol el 1 de abril de 2026, que resultó en aproximadamente $285 millones en pérdidas, también atribuido a hackers norcoreanos.

El ataque ha reavivado las discusiones sobre la seguridad de los puentes entre cadenas, que históricamente han sido uno de los componentes más vulnerables de la infraestructura DeFi. A pesar de numerosas auditorías y medidas de seguridad, los puentes siguen siendo objetivos atractivos para atacantes sofisticados debido a su complejidad y a las grandes cantidades de valor que aseguran.

El incidente también expuso la naturaleza interconectada de los protocolos DeFi modernos. Lo que comenzó como un ataque al puente de Kelp DAO rápidamente se convirtió en crisis de liquidez y situaciones de deuda incobrable en múltiples plataformas, demostrando cómo las vulnerabilidades en un solo protocolo pueden crear riesgos sistémicos en todo el ecosistema.

Respuesta de la Comunidad e Impacto en el Mercado

La comunidad cripto reaccionó con preocupación e introspección tras el hackeo. La frase "DeFi está muerto" circuló en plataformas sociales mientras los usuarios enfrentaban las implicaciones de otro gran exploit. El precio de Ethereum cayó a 2,300 dólares el 17 de abril de 2026, con los mercados de predicción valorando la volatilidad continua.

El exploit ha impulsado llamadas a mejorar las medidas de seguridad, diseñar mejores puentes y mayor transparencia en los protocolos DeFi. Los participantes de la industria reconocen cada vez más que el enfoque actual para la interoperabilidad entre cadenas puede requerir una revisión fundamental para alcanzar los estándares de seguridad necesarios para la adopción masiva.

Lecciones y Consideraciones Futuras

El hackeo del puente de Kelp DAO sirve como un recordatorio contundente de los riesgos inherentes a los protocolos DeFi entre cadenas. Varias lecciones clave emergen de este incidente:

Primero, la complejidad de los puentes entre cadenas crea múltiples vectores de ataque que actores sofisticados pueden explotar. A pesar de auditorías y revisiones de seguridad, la interacción entre diferentes redes blockchain y protocolos de mensajería introduce vulnerabilidades que pueden no ser evidentes durante evaluaciones de seguridad estándar.

Segundo, la naturaleza interconectada de los protocolos DeFi significa que los exploits pueden propagarse rápidamente a través de múltiples plataformas, amplificando el daño más allá de la brecha inicial. Este riesgo sistémico requiere mecanismos de respuesta coordinados y una mejor aislamiento entre protocolos.

Tercero, la atribución a hackers patrocinados por estados resalta el panorama de amenazas en evolución en la seguridad de criptomonedas. Los actores estatales con recursos sustanciales y paciencia representan un desafío fundamentalmente diferente a hackers individuales o grupos criminales.

Cuarto, la disputa entre Kelp DAO y LayerZero subraya la necesidad de marcos de responsabilidad más claros en la infraestructura DeFi. Cuando múltiples partes contribuyen a la seguridad de un protocolo, determinar la responsabilidad por fallos se vuelve complejo y puede retrasar respuestas y recuperaciones efectivas.

Conclusión

El hackeo del puente de Kelp DAO representa un momento decisivo para la industria DeFi en 2026. Con casi $300 millones robados y efectos en cascada en múltiples protocolos, el incidente ha expuesto vulnerabilidades críticas en la infraestructura entre cadenas y ha destacado las capacidades sofisticadas de actores patrocinados por estados. Mientras la industria continúa lidiando con las secuelas, el ataque sirve como un recordatorio poderoso de que la seguridad debe seguir siendo la prioridad en el desarrollo de sistemas financieros descentralizados. El camino a seguir requerirá no solo mejoras técnicas, sino también cambios fundamentales en la forma en que la industria aborda la gestión de riesgos, la responsabilidad y la coordinación entre protocolos.