El 18 de abril de 2026, una grave vulnerabilidad encontrada en una infraestructura de puente de terceros en el protocolo de finanzas descentralizadas (DeFi) Aave desencadenó una importante crisis de seguridad en todo el ecosistema de Ethereum. El exploit aprovechó una configuración de validador único dentro del puente rsETH LayerZero que se ejecuta en el protocolo Kelp.
Cómo se expuso la vulnerabilidad del puente
El puente LayerZero V2 de Kelp, que conecta Unichain con Ethereum, confiaba en un solo validador para aprobar todos los mensajes entre cadenas. Esta llamada “red de validador único” hizo posible manipular los datos en la cadena. Al aprovechar un tipo de ataque conocido como envenenamiento RPC, se engañó al validador, lo que resultó en la liberación de 116,500 rsETH en Ethereum, aunque no se quemaron tokens en la cadena de origen.
Este mensaje falso viajó a través del adaptador de puente y fue procesado en el lado de Ethereum. A pesar de que el contador en el lado de Unichain permanecía sin cambios, el puente de Ethereum aprobó la transacción, liberando una gran suma de tokens rsETH del sistema.
Glosario: LayerZero es un protocolo de interoperabilidad multichain que permite transferencias de activos y mensajes entre diferentes blockchains. Un validador (verificador) se refiere al operador o entidad independiente que aprueba las operaciones entre cadenas en el puente.
Cómo actuó el atacante en Aave
El atacante distribuyó rápidamente los 116,500 rsETH en siete direcciones diferentes, depositando 89,567 de estos tokens como garantía en ocho posiciones separadas de Aave V3 en Ethereum y Arbitrum. Luego, el atacante pidió prestado 82,650 WETH y 821 wstETH contra esta garantía. Al mantener los factores de salud de estas posiciones entre 1.01 y 1.03, el atacante minimizó el riesgo de liquidación automática, asegurando que los activos retirados permanecieran seguros en sus carteras.
Listar rsETH como garantía dentro del ecosistema Aave introdujo una dependencia en la validación del lado del puente. Por lo tanto, la vulnerabilidad se originó fuera del propio protocolo, derivando de la infraestructura del puente.
Los desarrolladores que siguieron de cerca el problema comentaron que añadir rsETH como colateral trajo los riesgos inherentes de la infraestructura del puente subyacente al protocolo.
Respuesta rápida y medidas inmediatas
El equipo de Aave respondió con medidas extraordinarias a través de sus sistemas Guardian en cuestión de horas. En la noche del 18 de abril, las transferencias de rsETH y wrsETH se congelaron en Aave V3 y la proporción de colateral se fijó a cero. Todos los depósitos y préstamos relacionados con estos activos se deshabilitaron instantáneamente en Aave V4 también.
Concomitantemente, Kelp congeló 43,373 rsETH en su extremo. Durante los dos días siguientes, las transacciones de WETH fueron suspendidas en Ethereum, Arbitrum, Base, Mantle y las redes Linea. El 21 de abril, el Consejo de Seguridad de Arbitrum bloqueó 30,766 ETH vinculados al atacante.
Para el 23 de abril, las reservas de rsETH de varias distribuciones habían sido congeladas por completo, asegurando tanto la liquidación de las posiciones del atacante como la protección de otros usuarios.
Más de $144 millones recuperados mediante colaboración industrial
A raíz del incidente, el consorcio DeFi United, que incluye a importantes proveedores de liquidez como Lido, Ethena y Mantle, se comprometió a restaurar activos por un total de $300 millones. El adaptador OFT de Aave LayerZero fue reabastecido en cinco etapas, con 116,131 rsETH de garantía completamente recuperada. Esto permitió que las operaciones normales se reanudaran en los mercados afectados de Aave.
