#KelpDAOBridgeHacked

Explotación del Puente KelpDAO: Análisis Técnico e Impacto en la Industria

El 18 de abril de 2026, el puente cross-chain rsETH de KelpDAO sufrió la mayor explotación DeFi de 2026, con los atacantes drenando aproximadamente 116,500 rsETH valorados en aproximadamente $292 millones. El incidente representa aproximadamente el 18% del suministro circulante total de rsETH y ha provocado efectos en cascada en todo el ecosistema DeFi.

Análisis del Vector de Ataque

La explotación se ejecutó mediante un ataque sofisticado en varias etapas dirigido a la infraestructura de LayerZero. Los atacantes primero comprometieron dos nodos RPC independientes operados por LayerZero Labs, reemplazando los binarios legítimos de op-geth por versiones maliciosas. Estos nodos envenenados fueron configurados específicamente para engañar a la Red de Verificadores Descentralizados de LayerZero (DVN) mientras mantenían respuestas veraces a otros sistemas de monitoreo, evadiendo efectivamente la detección.

La secuencia del ataque involucró un ataque coordinado de DDoS contra un tercer nodo RPC limpio, forzando a la DVN a cambiar a la infraestructura comprometida. La configuración del puente de KelpDAO utilizaba una configuración de DVN 1-de-1, lo que significa que solo la DVN de LayerZero Labs era necesaria para validar los mensajes entre cadenas. Los nodos envenenados confirmaron con éxito una transacción de quema fabricada en Unichain, que el sistema de retransmisión EndpointV2 propagó al Adaptador OFT de KelpDAO, desencadenando la liberación no autorizada de las reservas de la red principal.

Tras la explotación, el atacante lavó sistemáticamente los rsETH robados a través de múltiples billeteras, depositando fondos como colateral en los mercados Aave V3 en Ethereum y Arbitrum. El atacante aseguró aproximadamente 75,700 WETH en Ethereum y 30,800 WETH en Arbitrum, logrando ratios de préstamo a valor cercanos al 99% antes de que los congelamientos a nivel de protocolo detuvieran más préstamos.

Perfil de Atribución y Actor de Amenaza

Investigadores de seguridad y firmas de análisis blockchain han atribuido el ataque al Grupo Lazarus de Corea del Norte, específicamente al grupo TraderTraitor. Las características operativas se alinean con las metodologías documentadas de Lazarus: tácticas de intrusión pacientes, manipulación de infraestructura confiable y mecanismos sofisticados de supresión de detección. El malware empleado se autodestruyó tras la explotación, borrando sistemáticamente la evidencia forense de los sistemas comprometidos.

Respuesta del Protocolo y Contención

Aave respondió en horas congelando los mercados de rsETH en las implementaciones V3 y V4, incluyendo la integración SparkLend. Actualmente, el protocolo enfrenta aproximadamente $177 millones en deuda incobrable, concentrada principalmente en Arbitrum. El Valor Total Bloqueado en todo el ecosistema de Aave cayó de $26 mil millones a $18 mil millones, representando salidas de $8-14 mil millones a medida que los proveedores de liquidez retiraron capital.

La contagión se extendió más allá de Aave, con más de 15 protocolos implementando pausas de emergencia en los puentes. Los pools de préstamos WETH experimentaron tasas de utilización del 100%, creando riesgos de liquidación secundaria para posiciones apalancadas. KelpDAO ha incluido en la lista negra las direcciones del explotador y afirma haber prevenido otros intentos de ataque por un valor adicional de $95 millones.

Análisis de la Causa Raíz en Disputa

Existe una disputa significativa entre KelpDAO y LayerZero respecto a la responsabilidad fundamental. LayerZero sostiene que la configuración de DVN 1-de-1 de KelpDAO se desvió de las prácticas de seguridad recomendadas, enfatizando que el propio protocolo no contenía vulnerabilidades y que el incidente fue aislado a la infraestructura rsETH. LayerZero ha parcheado posteriormente los sistemas DVN y RPC afectados.

KelpDAO contraargumenta que la documentación predeterminada y las configuraciones de inicio rápido de LayerZero recomendaban la configuración 1-de-1, argumentando que el proveedor de infraestructura tiene la responsabilidad de la seguridad de los nodos RPC. Ambas partes coinciden en que no se explotaron errores en contratos inteligentes; la causa raíz se centra en las suposiciones de confianza dentro de configuraciones de punto único de falla.

Implicaciones para la Seguridad en DeFi

El incidente expone vulnerabilidades críticas en las arquitecturas de puentes entre cadenas, particularmente en la seguridad de la infraestructura RPC. Los nodos RPC han emergido como un eslabón débil sistémico, con la mayoría de los protocolos dependiendo de un conjunto limitado de proveedores sin una diversificación adecuada en la conmutación por error. La explotación demuestra que incluso sistemas sofisticados de firmas múltiples y verificación pueden ser comprometidos cuando las fuentes de datos subyacentes están envenenadas.

Los analistas de la industria recomiendan la implementación inmediata de configuraciones multi-DVN, redes diversificadas de proveedores RPC y sistemas de auditoría de configuración en tiempo real. La arquitectura modular de seguridad de LayerZero limitó el radio de daño específicamente a rsETH, sin afectar otros contratos OFT u OApp, sugiriendo que los marcos de mensajería entre cadenas pueden mantener la resiliencia incluso durante ataques dirigidos a la infraestructura.

Estado Actual y Esfuerzos de Recuperación

La gobernanza de Aave está debatiendo actualmente mecanismos de socialización de deuda para abordar la situación de deuda incobrable. KelpDAO, LayerZero y Aave han establecido canales de coordinación para operaciones de recuperación. El colectivo de seguridad blockchain Seal-911 está rastreando activamente los movimientos de fondos, con partes de los activos robados identificados en Tornado Cash y otros protocolos de ofuscación. Los canales de negociación con hackers permanecen abiertos, aunque no se ha confirmado ninguna recuperación al momento de redactar.

El exploit establece un nuevo récord para los hackeos DeFi de 2026, superando el incidente de $285 millones del Drift Protocol del 1 de abril. El incidente refuerza las preocupaciones en curso sobre la seguridad de los puentes como principal vector de ataque en DeFi, con la infraestructura entre cadenas permaneciendo como la frontera de seguridad más disputada del ecosistema.

#KelpDAO #DeFiSecurity #BridgeExploit #CryptoNews