Anoche se descubrió que Kelp DAO fue hackeado, saqué todos mis rsETH, 50 dólares😂

Aave tiene casi 300 millones de dólares en préstamos incobrables, ahora la tasa de interés de depósitos en USDT en Aave ha subido a más del 13%.
Después de detectar la anomalía, en primer lugar cambié todo en el precio de listado en Arbitrum a ETH. Porque el hacker no vendió en DEX en la cadena, rsETH aún no había desconectado su anclaje, casi se vendió a 1:1. ¿Por qué el hacker no vendió? Lo escribiré después.
En resumen, cuando hay problemas en los puentes entre cadenas, lo primero es huir.
【¿Qué es rsETH?】
Kelp es uno de los mayores protocolos de staking de liquidez en Ethereum. rsETH es una versión de staking de réplica similar a stETH de Lido, donde depositas ETH para obtener el certificado rsETH, y puedes usar ese certificado en préstamos, pools de liquidez, transferencias entre cadenas. Solo en Aave hay 940 millones de dólares en rsETH usados como colateral, y también están integrados en Compound, Gearbox, Morpho, Fluid, Euler, Pendle.
116,500 rsETH, con un valor de mercado de 292 millones de dólares en ese momento, fue drenado de una sola vez. Esto se convirtió en el mayor incidente de seguridad en DeFi en 2026, superando los 285 millones de Drift de hace dos semanas.
【¿Cómo lo robaron?】
El problema vuelve a estar en el puente entre cadenas. Kelp usa la solución OFT de LayerZero, que funciona en modo Lock & Mint: desde L2, rsETH se transfiere de vuelta a la red principal, donde la bóveda principal bloquea los rsETH reales, y en L2 se acuña una versión envuelta correspondiente. Los rsETH en más de 20 cadenas dependen completamente de la garantía de esta bóveda principal.
El atacante falsificó un mensaje de LayerZero para la transferencia entre cadenas, llamando al método lzReceive del contrato EndpointV2, vaciando directamente la bóveda. Cuando la bóveda quedó vacía, todos los rsETH en las cadenas se volvieron aire. Aproximadamente 10 horas antes, el atacante obtuvo fondos iniciales a través de Tornado Cash. Con una sola transacción, se llevó 292 millones de dólares.
El equipo de Kelp congeló el contrato de emergencia 46 minutos después. El atacante intentó dos veces más, cada vez con 40,000 rsETH (aproximadamente 100 millones de dólares), pero falló porque el contrato ya estaba en pausa. En 46 minutos, salvaron 200 millones.
【¿Cómo lo monetizó?】
El hacker no vendió en DEX porque el deslizamiento sería enorme y no obtendría buen precio. Guardó los rsETH robados en Aave, Compound, Euler como colateral, y aprovechó que los oráculos aún reportaban precios normales para pedir prestado aproximadamente 236 millones de dólares en WETH. Cuando rsETH vuelva a valer cero, estos préstamos nunca serán liquidados. La deuda incobrable queda en el protocolo.
Por eso todavía pude escapar, el hacker prefiere usar préstamos para sacar dinero en lugar de vender en mercado, y rsETH no se desconectó en poco tiempo, dejando una ventana.
【¿Qué pasa con Aave?】
Primero, aclarar: Aave en sí no fue hackeado, los contratos de Aave no tienen problemas. El problema es que en Aave se agregó rsETH como colateral, pero ese colateral se convirtió en un activo problemático.
Este no es un problema exclusivo de Aave. La lógica subyacente de todos los protocolos de préstamos es la misma: cuando el valor del colateral > valor del préstamo, es seguro. Si el valor del colateral cae demasiado rápido, no hay tiempo para liquidar, y nadie quiere asumir la posición, se generan deudas incobrables. Solo si se añade un activo que finalmente no puede pagar, todos los protocolos de préstamo enfrentan el mismo problema.
El estado actual de rsETH en Aave: congelado, con una reserva de 1.31 mil millones de dólares, liquidez disponible en cero, LTV máximo directamente a cero. 525,800 rsETH están bloqueados allí, sin poder salir.
Aave es el protocolo de préstamos número uno en DeFiLlama, con un TVL de aproximadamente 20,000 millones de dólares. Se estima que la pérdida en V3 fue de unos 177 millones de dólares. El token AAVE cayó un 10% en 24 horas. Los depósitos en USDT tienen un APY que subió a 13.35%, debido a que gran parte del WETH está bloqueado por la deuda incobrable, la liquidez es escasa y las tasas de interés de préstamos se disparan.
El año pasado, Aave lanzó el fondo de seguridad Umbrella, que automáticamente reduce la participación de los depositantes en caso de deuda incobrable para cubrir pérdidas. Es la primera prueba de estrés real desde su lanzamiento. ¿Podrá cubrir los 177 millones? No se puede asegurar. Si no, será el DAO o la comunidad quienes asuman la pérdida.
【Alcance de la afectación】
No solo Aave. SparkLend y Fluid han congelado el mercado de rsETH, Lido suspendió el depósito de earnETH, Upshift suspendió sus bóvedas relacionadas, e incluso Ethena, que no tiene nada que ver con rsETH, pausó preventivamente el puente LayerZero por 6 horas. Una vulnerabilidad en un puente ha destruido medio mercado de préstamos en DeFi.
Kelp ha tenido su segundo problema en un año. En abril del año pasado, un error en el contrato de tarifas provocó una sobreemisión de rsETH, y Aave también lo congeló una vez, pero en esa ocasión no perdieron dinero. Esta vez, no tuvieron tanta suerte.
Solo se puede decir que este tipo de incidentes son riesgos estructurales inevitables en DeFi.
Lock & Mint es el modo más atacado en la historia de los puentes entre cadenas. Ronin 590 millones, Wormhole 326 millones, BNB Bridge 570 millones, Nomad 190 millones, y ahora Kelp 292 millones. La reserva concentrada en una sola bóveda, una sola falla en la validación puede colapsar todo el sistema.