El 18 de abril de 2026, el protocolo de restaking líquido de KelpDAO sufrió el mayor exploit de DeFi del año después de que atacantes drenaran aproximadamente 116.500 rsETH, valorados en 292 millones de dólares, desde su puente impulsado por LayerZero. LayerZero Labs atribuyó el ataque al subgrupo «Lazarus Group» de Corea del Norte, «TraderTraitor», e identificó la configuración de puente de verificador único de KelpDAO como la causa raíz, permitiendo que nodos RPC comprometidos falsificaran mensajes válidos entre cadenas.
El atacante prefinanció billeteras a través de Tornado Cash aproximadamente diez horas antes de la ejecución, y luego explotó la configuración del verificador para activar liberaciones de fondos no autorizadas. La investigación de LayerZero reveló que dos de tres nodos en su red de verificación descentralizada (DVN) habían sido envenenados, provocando un failover a nodos comprometidos. Una configuración de múltiples verificadores adecuadamente endurecida habría exigido consenso entre DVNs independientes, evitando el exploit. LayerZero ha rechazado desde entonces firmar mensajes para configuraciones DVN de 1 de 1 en el futuro.
Tras el hack, el rsETH robado fue depositado como colateral en Aave V3, generando más de 236 millones de dólares en deuda incobrable concentrada en el par rsETH-WETH. La reserva Umbrella de Aave se activó para cubrir déficits, y se impusieron congelamientos de mercado en plataformas de préstamos, incluidas SparkLend, Fluid, Lido Finance y Ethena. El TVL de Aave cayó de 26,4 mil millones a casi 20 mil millones de dólares, subrayando el impacto sistémico de las explotaciones de interoperabilidad.
El fundador de Tron, Justin Sun, expuesto a posiciones en Aave, retiró aproximadamente 65.584 ETH (154 millones de dólares) para mitigar pérdidas personales antes de acudir a X para dirigirse directamente al hacker y negociar. Sun advirtió que la continua no cooperación podría hundir tanto a KelpDAO como a Aave, pidiendo la devolución de los fondos robados para preservar la estabilidad de DeFi. Los líderes de la industria enfatizaron normas de seguridad de puentes más fuertes y la adopción de configuraciones redundantes para protegerse contra actores maliciosos de nivel estatal.
El incidente ha reavivado las llamadas a auditorías de integración rigurosas, monitoreo en tiempo real y marcos de validación descentralizados para asegurar la infraestructura entre cadenas. Con las pérdidas totales por hackeo en abril ya superando los 606 millones de dólares, los equipos de protocolo y las firmas de seguridad se apresuran a implementar medidas defensivas ante futuros exploits de alto perfil.
Comentarios (0)