#KelpDAOBridgeHacked

PUENTE DE KELPDAO: LA CATASTROFE MULTICHAIN DE $292 MILLONES QUE EXPUSO EL TALÓN DE AQUILES DE DEFI

Imagina despertarte un sábado por la tarde y descubrir que casi $300 millones han desaparecido en el aire, no por alguna vulnerabilidad compleja en un contrato inteligente, sino por un simple mensaje que mintió. Eso fue exactamente lo que ocurrió el 18 de abril de 2026, cuando el puente multichain de KelpDAO fue víctima del mayor hackeo de DeFi del año, con atacantes drenando 116,500 rsETH por valor de aproximadamente $292 millones en solo 46 minutos, enviando ondas de choque a todo el ecosistema de finanzas descentralizadas y dejando ether envuelto varado en 20 diferentes cadenas de bloques. El ataque no fue solo sofisticado, fue quirúrgico. Los perpetradores, posteriormente atribuidos al infame Grupo Lazarus de Corea del Norte, habían pasado de 8 a 10 horas preparando siete nuevas carteras financiadas a través de Tornado Cash, preparando el escenario para lo que sería una clase magistral en explotación multichain. Aproximadamente a las 17:35 UTC, atacaron el puente de KelpDAO, que dependía de una configuración peligrosamente centralizada de Verificador Descentralizado1-de-1 (Red de Verificadores Descentralizados), un único punto de fallo que los atacantes habían identificado claramente como su punto de entrada. Al comprometer dos nodos RPC de LayerZero y DDoS a un tercero para forzar la conmutación por error a su infraestructura envenenada, los hackers inyectaron mensajes falsificados de cross-chain que engañaron al puente haciéndole creer que se habían realizado quemas legítimas en las cadenas fuente, lo que provocó que el contrato liberara rsETH no respaldado de las reservas de Ethereum directamente en carteras controladas por los atacantes. La genialidad de la explotación no residió en romper el código, sino en manipular las suposiciones de confianza en las que toda la arquitectura multichain dependía—en solo seis minutos del drenaje inicial, el rsETH robado ya se lavaba en el paisaje DeFi, depositado como colateral en Aave V3 y V4, Compound, Euler y Morpho para pedir prestado aproximadamente $236 millones en ETH y WETH antes de que alguien pudiera reaccionar. La contagiosa fue inmediata y brutal: Aave congeló sus mercados de rsETH en horas, revelando estimaciones de deuda incobrable entre $123 millones y $230 millones, mientras que el token AAVE cayó un 23% y los mercados principales alcanzaron un 100% de utilización mientras los usuarios en pánico se apresuraban a retirar. Pero la verdadera historia aquí no es solo el robo, sino el juego de culpas que siguió, con LayerZero insistiendo en que su protocolo no tenía errores y señalando a la configuración de un solo DVN como la culpable, mientras KelpDAO contraatacaba diciendo que1-de-1 era la configuración predeterminada documentada de LayerZero desde enero de 2024 y que su infraestructura RPC había sido comprometida, señalando que aproximadamente el 40% de los protocolos usan configuraciones similares sin advertencias previas sobre vulnerabilidades. Los datos cuentan una historia escalofriante: Dune Analytics reveló que el 47% de aproximadamente 2,665 aplicaciones de LayerZero actualmente usan configuraciones de 1-de-1, lo que significa que miles de protocolos podrían estar en bombas de tiempo similares. Las consecuencias se extendieron mucho más allá de KelpDAO, con el TVL de DeFi perdiendo más de $600 millones en dos semanas y entre $8 y $10 mil millones huyendo de Ethereum y L2s en 48 horas tras el incidente, mientras la comunidad cripto enfrentaba una verdad incómoda: los puentes multichain siguen siendo el eslabón más débil de DeFi, no por errores en contratos inteligentes, sino por riesgos de infraestructura como el envenenamiento de RPC que la mayoría de los usuarios nunca consideran. Este ataque representa un cambio de paradigma en cómo debemos pensar en la seguridad de los puentes: no fue una explotación de código, sino una falla en la seguridad operativa, un recordatorio de que en el mundo de la interoperabilidad multichain, la capa de verificación de mensajes solo es tan fuerte como su componente más centralizado. La metodología del Grupo Lazarus aquí refleja sus anteriores atracos cripto, combinando intrusión paciente, manipulación de confianza y supresión de detección en un paquete devastador que superó todas las suposiciones de seguridad tradicionales. Para los usuarios cotidianos de DeFi, las lecciones son claras e inmediatas: cuando conectas activos entre cadenas, no solo confías en el contrato inteligente, sino en toda la infraestructura de verificación, los nodos RPC, las configuraciones de DVN y la seguridad operativa de cada componente en esa cadena. La respuesta de KelpDAO incluyó pausar contratos, poner en lista negra a los explotadores y bloquear un adicional de $95 millones en drenajes posteriores, pero el daño a la confianza ya estaba hecho. Mientras la industria enfrenta esta llamada de atención, la presión hacia configuraciones multi-DVN y redes de verificación diversificadas se ha acelerado, con LayerZero anunciando que dejará de soportar configuraciones de 1-de-1 por completo. Sin embargo, la pregunta más amplia sigue sin respuesta: si casi la mitad de todas las aplicaciones de LayerZero usan configuraciones vulnerables, ¿cuántos otros KelpDAO están esperando ser explotados? La pregunta de $292 millones no es solo sobre recuperar fondos robados, sino sobre si DeFi puede madurar más allá de su adolescencia en infraestructura antes de que el próximo Grupo Lazarus toque a la puerta.