Análisis del ataque a Kelp DAO: una noticia falsa robó 292 millones de dólares, resurgen preocupaciones sobre riesgos sistémicos en DeFi

I. Resumen del evento

A las 17:35 UTC del 18 de abril, el segundo protocolo de staking líquido, Kelp DAO, sufrió un ataque masivo. Los hackers aprovecharon una vulnerabilidad en el puente cross-chain rsETH basado en LayerZero, falsificando mensajes entre cadenas para robar 116,500 rsETH de la red principal de Ethereum, valorados en aproximadamente 292 millones de dólares, lo que representa alrededor del 18% del suministro total de rsETH. Aproximadamente 46 minutos después, Kelp DAO suspendió urgentemente la firma múltiple, logrando interceptar dos intentos posteriores de extraer otros 40,000 rsETH (unos 100 millones de dólares).

Los atacantes obtuvieron fondos iniciales a través de Tornado Cash y construyeron con precisión paquetes de datos entre cadenas, llamando a la función lzReceive en el contrato del endpointV2 de LayerZero, lo que activó la liberación de activos por parte del contrato de puente de Kelp. Sin embargo, en la cadena fuente no había ningún depósito previo de rsETH, la orden fue completamente falsa y fabricada de la nada.

II. Origen de la vulnerabilidad: un fallo fatal en la configuración cross-chain

La causa principal radica en que Kelp DAO utilizó una configuración de un solo validador DVN (single validator node) demasiado simplificada, en lugar de la recomendada por LayerZero, que es una validación múltiple 2/2, permitiendo que un solo validador confirme los mensajes entre cadenas. Tras saltarse la verificación, el adaptador del puente no verificó estrictamente el origen del mensaje, creyendo que había activos equivalentes bloqueados en la cadena fuente, y ejecutó la orden de liberación. En esencia, esto permitió la "emisión sin respaldo y de la nada".

III. Impacto en cadena: malas deudas en Aave y pánico en el mercado

Los hackers rápidamente colocaron los rsETH robados como colateral en protocolos de préstamo como Aave V3, Compound y Euler, prestando aproximadamente 236 millones de dólares en WETH/ETH reales. Debido a que rsETH es una emisión falsa, estas posiciones de préstamo se convirtieron en deudas incobrables, con Aave asumiendo entre 177 y 196 millones de dólares, Compound unos 39.4 millones y Euler unos 840,000 dólares.

Aave inmediatamente congeló el mercado de rsETH, pero aún así provocó un pánico masivo de retiro, con más de 5.4 mil millones de dólares en activos retirados de Aave, y la utilización de fondos en ETH alcanzó el 100%. El TVL de Aave cayó de aproximadamente 26.4 mil millones a 20.7 mil millones de dólares, y el token AAVE cayó más del 10%.

IV. Reflexión del sector: riesgos sistémicos en la estructura de Lego de DeFi

Este ataque no fue una vulnerabilidad tradicional de contratos inteligentes, sino que expuso la doble fragilidad en la seguridad de la configuración de los puentes cross-chain y en la lógica de colateralización de los LRT (tokens de staking líquido). El incidente de Kelp DAO es el segundo gran accidente de seguridad en abril, tras Drift Protocol (con 285 millones de dólares), sin contar la pérdida de 284 millones de dólares en enero por un solo phishing, evidenciando que DeFi enfrenta desafíos de seguridad cada vez más complejos. Como activo empaquetado de tipo LRT, rsETH depende de la seguridad del puente cross-chain, y protocolos de préstamo como Aave incluyen estos activos de alto riesgo en su lista de colaterales, lo que provoca una transmisión asimétrica de riesgos a lo largo de la cadena del protocolo. Si hay una vulnerabilidad en la base, el impacto puede extenderse instantáneamente a todo el ecosistema de préstamos.

El evento también generó reacciones en cadena: proyectos como Solv anunciaron la suspensión de puentes relacionados con LayerZero, y Curve Finance detuvo temporalmente la infraestructura de LayerZero. LayerZero afirmó que está investigando la causa raíz y publicará un informe completo de análisis en colaboración.

El fundador de Kelp DAO, Charlie, publicó en la plataforma X admitiendo que el equipo cometió un error al usar la configuración DVN 1/1, y anunció que implementará un plan de compensación total para todos los usuarios afectados, rechazando la solución de "compartir pérdidas socializadas" que preocupa a la comunidad. El fundador señaló que, aunque recuperar los activos afectados es difícil, la responsabilidad principal es proteger los derechos de los usuarios, y los detalles de la compensación se anunciarán lo antes posible.

Este incidente vuelve a advertir a la industria DeFi: cuando los activos se anidan cada vez más en múltiples protocolos, cada punto débil en la estructura de Lego puede desencadenar un colapso completo. El mercado necesita estándares de control de riesgos más estrictos, marcos de seguridad más conservadores y estrategias de configuración cross-chain más prudentes; de lo contrario, la próxima vez, las pérdidas serán mucho mayores que 292 millones de dólares. #Gate13周年现场直击