#KelpDAOBridgeHacked Puente de Kelp DAO Hackeado: $292 Exploit de Millón Sacude DeFi en Su Núcleo

Una falla catastrófica en la seguridad entre cadenas ha llevado al mayor hackeo de DeFi de 2026, provocando un amargo juego de culpas entre Kelp DAO y LayerZero mientras amenaza con paralizar protocolos de préstamo importantes como Aave.

En lo que rápidamente se ha convertido en el exploit (DeFi) más devastador del año, Kelp DAO sufrió una pérdida de $292 millón durante el fin de semana. El ataque apuntó al puente entre cadenas impulsado por LayerZero del protocolo, resultando en el robo de 116,500 tokens rsETH.

El incidente, ocurrido el 18 de abril, no solo drenó una parte significativa de la liquidez de Kelp, sino que también desencadenó una crisis en cascada en todo el ecosistema, involucrando al gigante de préstamos Aave y generando una disputa acalorada sobre quién es en última instancia responsable de la falla de seguridad.

El Vector de Ataque: Cómo los Hackers Bypasaron la Seguridad

El atacante financió su billetera a través de Tornado Cash aproximadamente 10 horas antes del exploit, una técnica clásica de ocultación utilizada por grupos de hacking sofisticados. Las investigaciones preliminares, incluyendo las del detective de blockchain ZachXBT, apuntan al Grupo Lazarus de Corea del Norte como probable perpetrador.

El mecanismo del ataque fue altamente técnico. Según informes, los hackers comprometieron una lista de nodos RPC utilizados por la Red Verificada Descentralizada de LayerZero (DVN). Al envenenar dos nodos y lanzar un ataque DDoS en los demás, los atacantes forzaron a la red a aceptar un mensaje entre cadenas fraudulento.

Este mensaje falso engañó al contrato del puente de Kelp DAO para "liberar" 116,500 rsETH en la red principal de Ethereum que debería haber permanecido bloqueado.

El Juego de Culpa: Kelp DAO vs. LayerZero

Tras el incidente, ha surgido una disputa pública entre Kelp DAO y LayerZero respecto a la causa raíz de la vulnerabilidad.

· Postura de LayerZero: El protocolo de mensajería ha culpado directamente a Kelp DAO por usar una configuración de "1-de-1 DVN" (Red Verificada Descentralizada). Argumentan que esta configuración creó un punto único de fallo catastrófico, ya que no había un segundo validador independiente para detectar la transacción maliciosa. LayerZero afirma que comunicó las mejores prácticas respecto a la diversificación, pero Kelp optó por no adoptarlas.
· Defensa de Kelp DAO: En una réplica firme, Kelp DAO rechazó estas afirmaciones, afirmando que el modelo 1-de-1 DVN era la configuración predeterminada descrita en la documentación propia de LayerZero para nuevos despliegues de OFT (Token Fungible Omnicanal). Kelp mantiene que operó sobre esta infraestructura desde enero de 2024 y que la configuración fue previamente confirmada como adecuada por representantes de LayerZero.

La Contagión se Extiende: Aave Enfrenta $230M Hoyo

La consecuencia más severa del hackeo es el riesgo sistémico que representa para Aave, el principal protocolo de préstamos DeFi.

En lugar de vender los rsETH robados, el atacante depositó 89,567 de los tokens en Aave como colateral y tomó prestado aproximadamente $190 millón en WETH y wstETH. Esto ha dejado a Aave con colaterales cuyo valor está fundamentalmente comprometido.

Según un informe de incidentes de Aave Labs, las pérdidas potenciales para Aave varían mucho dependiendo de cómo Kelp DAO decida distribuir la deficiencia:

1. Pérdida Compartida ($124 millón): Si las pérdidas se distribuyen entre todos los poseedores de rsETH (un evento de desvinculación del 15%).
2. Aislamiento en Layer 2 ($230 millón): Si las pérdidas se aíslan únicamente a las redes Layer 2, dejando las participaciones en mainnet de Aave parcialmente sin respaldo.

En respuesta, Aave ha congelado los mercados de rsETH en V3 y V4, estableciendo ratios de Préstamo a Valor en cero para evitar más préstamos. El token de Aave (AAVE) cayó un 10% tras la noticia, y más de $10 mil millones en Valor Total Bloqueado (TVL) huyeron del protocolo mientras los usuarios apresuraron a retirar fondos.

Frenos de Emergencia: Arbitrum Congela $71 Millón

En una muestra rara de intervención rápida de gobernanza, el Consejo de Seguridad de Arbitrum intervino para congelar 30,766 ETH —valorados en aproximadamente $71.1 millones— vinculados al exploit en la red Arbitrum One.

Los fondos han sido trasladados a una billetera intermedia congelada. Arbitrum declaró que estos activos permanecerán inmóviles a la espera de una decisión formal de gobernanza, que podría resultar en la devolución a los usuarios. El consejo señaló que actuó con la colaboración de las fuerzas del orden respecto a la identidad del explotador.

¿Qué Sucederá Después?

Por ahora, la situación sigue siendo fluida pero grave. Kelp DAO ha detenido sus contratos rsETH en la mainnet y en varias redes Layer-2. El problema central para las esfuerzos de resolución es que Kelp DAO probablemente no tenga el tamaño del tesoro para cubrir la pérdida de $292 millón de forma unilateral.

Observadores de la industria sugieren que LayerZero podría verse obligado a intervenir para salvar la reputación de su ecosistema OFT, o que Aave podría necesitar usar su tesorería DAO ($181 millón) para cubrir la deuda incobrable. Sin embargo, ambas partes niegan actualmente una responsabilidad directa.