Básico
Spot
Opera con criptomonedas libremente
Margen
Multiplica tus beneficios con el apalancamiento
Convertir e Inversión automática
0 Fees
Opera cualquier volumen sin tarifas ni deslizamiento
ETF
Obtén exposición a posiciones apalancadas de forma sencilla
Trading premercado
Opera nuevos tokens antes de su listado
Contrato
Accede a cientos de contratos perpetuos
TradFi
Oro
Plataforma global de activos tradicionales
Opciones
Hot
Opera con opciones estándar al estilo europeo
Cuenta unificada
Maximiza la eficacia de tu capital
Trading de prueba
Introducción al trading de futuros
Prepárate para operar con futuros
Eventos de futuros
Únete a eventos para ganar recompensas
Trading de prueba
Usa fondos virtuales para probar el trading sin asumir riesgos
Lanzamiento
CandyDrop
Acumula golosinas para ganar airdrops
Launchpool
Staking rápido, ¡gana nuevos tokens con potencial!
HODLer Airdrop
Holdea GT y consigue airdrops enormes gratis
Pre-IPOs
Accede al acceso completo a las OPV de acciones globales
Puntos Alpha
Opera activos on-chain y recibe airdrops
Puntos de futuros
Gana puntos de futuros y reclama recompensas de airdrop
Inversión
Simple Earn
Genera intereses con los tokens inactivos
Inversión automática
Invierte automáticamente de forma regular
Inversión dual
Aprovecha la volatilidad del mercado
Staking flexible
Gana recompensas con el staking flexible
Préstamo de criptomonedas
0 Fees
Usa tu cripto como garantía y pide otra en préstamo
Centro de préstamos
Centro de préstamos integral
Centro de patrimonio VIP
Planes de aumento patrimonial prémium
Gestión patrimonial privada
Asignación de activos prémium
Quant Fund
Estrategias cuantitativas de alto nivel
Staking
Haz staking de criptomonedas para ganar en productos PoS
Apalancamiento inteligente
Apalancamiento sin liquidación
Acuñación de GUSD
Acuña GUSD y gana rentabilidad de RWA
#Gate13周年现场直击
EL MAYOR EXPLOIT DEFI DE 2026 ACABA DE SUCEDER Y LAS CONSECUENCIAS SIGUEN EXPANDIÉNDOSE.
El 18 de abril de 2026, a las 17:35 UTC, un atacante drenó 116,500 tokens rsETH por valor de aproximadamente $292 millones desde el puente entre cadenas impulsado por LayerZero de Kelp DAO. La cantidad robada representa aproximadamente el 18 por ciento de toda la oferta circulante de rsETH, que es de 630,000 tokens, y el exploit ha sido oficialmente confirmado como el mayor hack de DeFi de 2026. Esto no fue un golpe aleatorio. Fue un ataque de infraestructura de precisión, meses en planificación, ejecutado en menos de 46 minutos.
Cómo funcionó el ataque:
Los atacantes prefinanciaron seis billeteras a través de Tornado Cash aproximadamente 10 horas antes del drenaje. Luego comprometieron dos de los nodos RPC en los que el verificador de LayerZero confiaba para confirmar transacciones entre cadenas, reemplazando el software del nodo con versiones maliciosas que reportaban datos falsos de transacción al verificador. Un ataque DDoS simultáneo forzó un cambio de respaldo que llevó los nodos comprometidos a la ruta de verificación. Con el verificador engañado, el puente de Kelp liberó 116,500 rsETH a una dirección controlada por el atacante.
El multisig de emergencia de Kelp pausó los contratos principales 46 minutos después del drenaje. Dos intentos posteriores a las 18:26 y 18:28 UTC, cada uno dirigido a otros 40,000 rsETH por valor de aproximadamente $100 millones, fueron bloqueados. Los contratos de reestake principales no fueron tocados. El exploit estuvo completamente aislado a la capa del puente.
La causa raíz: un solo punto de fallo
El ataque solo funcionó porque Kelp operaba con una configuración de verificador 1-de-1, lo que significa que LayerZero Labs era la única entidad que verificaba los mensajes hacia y desde el puente rsETH. En una configuración multi-DVN correctamente reforzada, se requiere consenso entre varios verificadores independientes para aprobar cualquier mensaje entre cadenas. Comprometer un solo nodo no sería suficiente para falsificar una instrucción válida. LayerZero dijo que su lista de verificación de integración pública y las comunicaciones directas con Kelp habían recomendado una configuración multi-verificador con redundancia, pero Kelp optó por mantener la configuración 1-de-1.
Kelp está disputando esta versión. Una fuente familiarizada con la posición de Kelp dijo a CoinDesk que, a través de un canal de comunicación directo con LayerZero abierto desde julio de 2024, no se produjo ninguna recomendación específica para cambiar la configuración DVN de rsETH. La guía rápida de LayerZero y la configuración predeterminada en GitHub apuntan a una configuración DVN 1-de-1, y aproximadamente el 40 por ciento de los protocolos en LayerZero están usando la misma configuración. La disputa pública entre dos grandes proveedores de infraestructura DeFi ya es su propia historia.
Actor patrocinado por el estado: grupo Lazarus
La declaración del incidente de LayerZero dice: "Indicadores preliminares sugieren atribución a un actor estatal altamente sofisticado, probablemente el Grupo Lazarus de DPRK, más específicamente TraderTraitor." El Grupo Lazarus ha sido vinculado tanto al exploit del Drift Protocol el 1 de abril como al ataque a Kelp el 18 de abril, lo que significa que la misma unidad norcoreana ha drenado más de $575 millones de DeFi en 18 días a través de dos vectores de ataque estructuralmente diferentes: ingeniería social a los firmantes de gobernanza en Drift, y envenenamiento de RPCs de infraestructura en Kelp. LayerZero ha contactado a varias agencias de aplicación de la ley en todo el mundo y está colaborando con Seal911 para rastrear los fondos robados.
La contagión: aave, TVL y deuda incobrable
El atacante depositó los rsETH robados en Aave V3 como colateral y tomó prestado ether envuelto contra él, dejando aproximadamente $196 millones en deuda incobrable concentrada en el par rsETH-WETH en Ethereum. El informe de incidentes de Aave describe dos posibles resultados: aproximadamente $123 millones en pérdidas si el daño se comparte entre todos los rsETH, o hasta $230 millones si se limita a las redes Layer 2, dependiendo de cómo Kelp DAO asigne la deficiencia.
El valor total bloqueado en Aave cayó a 17.5 mil millones de dólares, una disminución de 8.8 mil millones en dos días. El sector DeFi en general también vio salidas masivas, con el valor total bloqueado en todas las cadenas disminuyendo de más de $99 mil millones a alrededor de $86 mil millones. SparkLend, Fluid y Lido Finance pausaron sus mercados relacionados con rsETH. Ethena cerró sus propios puentes OFT de LayerZero desde la red principal de Ethereum como medida de precaución, a pesar de no tener exposición directa a rsETH.
rsETH se despliega en más de 20 redes, incluyendo Arbitrum, Base, Linea, Blast, Mantle y Scroll. Con la reserva del puente drenada, los titulares en cada despliegue de L2 ahora enfrentan incertidumbre sobre si sus tokens rsETH envueltos tienen respaldo completo, creando un ciclo de presión de redención que amenaza con forzar a Kelp a deshacer posiciones de EigenLayer en reestake para honrar retiros.
Qué significa esto para defi:
Este exploit no es solo una historia de Kelp DAO. Es una advertencia estructural. Los puentes entre cadenas siguen siendo la superficie más explotada en DeFi, y este ataque demuestra que incluso infraestructuras de mensajería probadas en batalla como LayerZero pueden ser utilizadas como armas mediante fallos de configuración en el nivel de integración. El exploit de Kelp muestra que el Grupo Lazarus de Corea del Norte está evolucionando más allá de hacks aislados, cambiando rápidamente de ingeniería social a explotar debilidades estructurales en la infraestructura cripto, sugiriendo una campaña sostenida impulsada por el estado en lugar de incidentes aislados. La arquitectura de múltiples verificadores, configuraciones redundantes de RPC y auditorías de seguridad independientes de las configuraciones de puente ya no son solo buenas prácticas. Después del 18 de abril de 2026, son requisitos de supervivencia.
#Gate13周年
#CreatorCarvinal
#KelpDAOBridgeHacked