Una explotación crítica entre cadenas ha sacudido a Kelp DAO, llevando a la suspensión de su protocolo después de que atacantes drenaron rsETH por un valor de $292 millones en una sola operación. El incidente, atribuido a una vulnerabilidad vinculada a la integración de LayerZero, ha desencadenado efectos en cascada a través de plataformas de finanzas descentralizadas (DeFi) conectadas a rsETH, forzando medidas de emergencia inmediatas.
Un Masivo Drenaje de rsETH Provoca Congelación de Emergencia en Kelp DAO
Kelp DAO, una plataforma de restake líquido conocida por facilitar transferencias entre cadenas de rsETH, confirmó que la explotación ocurrió a las 17:35 UTC el sábado. Los atacantes lograron extraer aproximadamente 116,500 rsETH, equivalentes a alrededor de $292 millones, a través de una llamada dirigida a la función “lzReceive” dentro del contrato EndpointV2 de LayerZero. Esta explotación persuadió al puente de Kelp para liberar los activos a direcciones bajo control del atacante.
La investigación reveló que el plan se puso en marcha con bastante antelación, con el atacante utilizando Tornado Cash para financiarse aproximadamente 10 horas antes de la brecha, mejorando así el anonimato de las transacciones. Dentro de una hora del ataque, el equipo de emergencia de Kelp DAO ejecutó una pausa completa del protocolo, deteniendo inmediatamente elementos clave como el token rsETH, el LRT Deposit Pool, los módulos de retiro y los componentes de oráculo para prevenir más pérdidas.
Después de la brecha principal, el atacante intentó dos drenajes adicionales, cada uno por valor de alrededor de $50 millones, pero ambos fueron frustrados por el estado suspendido del sistema. Sin la intervención, las pérdidas totales podrían haber alcanzado casi $391 millones.
Más temprano hoy identificamos actividad sospechosa entre cadenas que involucra rsETH. Hemos pausado contratos de rsETH en la mainnet y varios L2s mientras investigamos. Estamos trabajando con LayerZero, Unichain, nuestros auditores y principales expertos en seguridad en RCA. Les mantendremos informados…
Kelp DAO, establecido como un protocolo para restake líquido y acceso DeFi entre cadenas, opera en más de 20 redes blockchain, incluidas Arbitrum, Base y Scroll. Su token rsETH representa una parte significativa del valor total bloqueado (TVL) del protocolo, con alrededor de 630,000 tokens en circulación antes del incidente.
Efectos en DeFi: Aave Congela rsETH para Prevenir Deudas Incobrables
Las repercusiones de la explotación llegaron rápidamente a otras plataformas, particularmente Aave, un importante protocolo de préstamos descentralizado. La preocupación por la exposición a la liquidez comprometida de rsETH llevó a congelar todos los mercados de rsETH en Aave V3 y V4. Este movimiento se produjo después de que el precio de AAVE cayera un 10%, destacando la ansiedad del mercado sobre posibles riesgos de deuda incobrable.
Los mercados de rsETH en Aave V3 y Aave V4 han sido congelados. Los contratos de Aave no han sido explotados y esto es una explotación relacionada con rsETH. La congelación sigue a una explotación del puente rsETH de Kelp DAO. Congelar los mercados de rsETH previene nuevos depósitos y préstamos contra rsETH…
El equipo de Aave reafirmó que sus contratos inteligentes permanecen sin comprometer, aclarando que el problema subyacente se limita al activo rsETH explotado. Mientras las discusiones inicialmente referenciaban un recurso potencial al módulo de seguridad Umbrella de la plataforma, las actualizaciones posteriores indicaron que las opciones serían reevaluadas solo si se realizan pérdidas reales a través de efectos encadenados.
El rsETH robado representa aproximadamente el 18% del suministro circulante del token, amplificando las preocupaciones tanto para los usuarios que poseen el activo como para los protocolos que utilizan rsETH como garantía.
Problemas de Seguridad Recurrentes Ponen en Foco los Riesgos de Puentes Multi-Cadena
Esto marca el segundo revés importante para Kelp DAO dentro de doce meses. En abril de 2025, un error que afectaba a su contrato de tarifas llevó a una acuñación no intencionada de rsETH y desencadenó una pausa temporal del sistema, aunque no se perdieron fondos de usuarios durante ese evento.
Actualmente, rsETH se comercializa alrededor de $2,500, pero la volatilidad del precio se ha intensificado en medio de la incertidumbre sobre la estabilidad a largo plazo de Kelp DAO. El cofundador Amitej Gajjala y el equipo central aún no han entregado actualizaciones detalladas más allá de las investigaciones técnicas en curso y los esfuerzos colaborativos con LayerZero, Unichain y expertos externos en seguridad.
La escala sin precedentes de la explotación ha impulsado un debate renovado sobre las vulnerabilidades inherentes en el diseño de puentes multicanal a través de DeFi, con usuarios y protocolos reevaluando sus marcos de riesgo mientras los funcionarios llevan a cabo un análisis forense más profundo y persiguen estrategias de recuperación.
