#KelpDAOBridgeHacked

El ecosistema de finanzas descentralizadas presenció una de sus fallas de seguridad más graves hasta la fecha. Kelp DAO, un destacado protocolo de reapostación de liquidez, sufrió un exploit devastador dirigido a su puente de cadena cruzada rsETH. En minutos, aproximadamente 116,500 rsETH—valorados entre $292 millones y $293 millones—fueron drenados, representando casi el 18% del suministro total en circulación del token. Este incidente ahora se considera el mayor hackeo en DeFi registrado en 2026.

La brecha se originó en la infraestructura del puente de Kelp DAO, que dependía del sistema de mensajería de cadena cruzada de LayerZero. Específicamente, el atacante explotó la función lzReceive en el contrato EndpointV2. Al crear e inyectar un mensaje fraudulento de cadena cruzada, el atacante eludió las verificaciones de seguridad. El sistema fue engañado para reconocer el mensaje como legítimo, lo que activó la liberación no autorizada de fondos a una cartera controlada por el atacante.
Lo que hace que el ataque sea particularmente preocupante es cómo aprovechó el comportamiento estándar del protocolo en lugar de una vulnerabilidad compleja. Los analistas creen que una dependencia excesiva de configuraciones predeterminadas y capas de validación insuficientes dentro del sistema de mensajería jugaron un papel crítico. La preparación del atacante también fue deliberada: la cartera utilizada en el exploit había sido financiada a través de Tornado Cash aproximadamente 10 horas antes, una táctica común para ocultar los orígenes de las transacciones y dificultar la trazabilidad.

La naturaleza de cadena cruzada del puente amplificó el daño. Con rsETH desplegado en la red principal de Ethereum y en múltiples redes de capa 2 como Arbitrum, el exploit se propagó rápidamente a través de los ecosistemas. Esta exposición multichain aumentó significativamente tanto la velocidad como la escala de la pérdida.
Kelp DAO respondió rápidamente tras detectar actividad anormal. El equipo pausó inmediatamente los contratos de rsETH en la red principal y en varios entornos de capa 2, evitando efectivamente mayores pérdidas que se estimaron en más de $100 millones. En su declaración inicial, confirmaron la colaboración activa con socios de infraestructura, auditores y expertos en seguridad para realizar una investigación exhaustiva.

A pesar de la rápida respuesta, las consecuencias fueron severas. El exploit generó pánico generalizado en los mercados de DeFi, llevando a una crisis de liquidez. Los usuarios se apresuraron a retirar fondos, creando un efecto de “corrida bancaria” en cascada. Plataformas de préstamo importantes, como Aave, implementaron medidas de emergencia como congelamientos de mercado. Aproximadamente $9 mil millones—alrededor de un tercio del valor total bloqueado en Aave—fueron retirados en un corto período, resultando en una deuda incobrable estimada entre $196 millones y $236 millones.

Otros protocolos, incluyendo SparkLend, Fluid, Upshift y Morpho, también experimentaron una tensión significativa. En todo el ecosistema, el valor total bloqueado cayó en un estimado de $8 mil millones a $13 mil millones en 48 horas. Las ondas de choque se extendieron más allá de Ethereum, afectando pools de liquidez en otras cadenas, incluyendo Solana.
Ha surgido especulación sobre una posible participación del Lazarus Group, una organización de ciberdelincuencia vinculada a Corea del Norte, conocida por atacar plataformas de criptomonedas. Aunque algunos indicadores en cadena sugieren posibles conexiones, no se ha hecho ninguna confirmación oficial.

Mientras tanto, el atacante ya ha comenzado a mover fondos, intercambiando partes en ETH en diferentes redes para complicar los esfuerzos de rastreo.
Este incidente refuerza una preocupación de larga data en DeFi: los puentes de cadena cruzada siguen siendo uno de los componentes más vulnerables de la infraestructura blockchain. Aunque permiten una interoperabilidad sin fisuras, también introducen superficies de ataque críticas—especialmente cuando los mecanismos de validación de mensajes no son lo suficientemente robustos.

El exploit de Kelp DAO sirve como una advertencia contundente. Resalta la necesidad urgente de mejorar los marcos de seguridad, incluyendo sistemas de verificación multinivel, lógica de validación más estricta y mejores prácticas de gestión de riesgos. A medida que la investigación continúa, la industria ahora espera el informe completo de post-mortem de Kelp DAO, que se espera proporcione una visión más profunda de la falla y describa pasos para prevenir incidentes similares en el futuro.
📌 Detalle:
https://www.gate.com/announcements/article/50593
‍#GateSquare #CreatorCarnival #ContentMining #Gate13周年