#KelpDAOBridgeHacked

La mayor explotación DeFi de 2026 – El puente rsETH de Kelp DAO drenado por $292 millones
El 18 de abril de 2026, aproximadamente a las 17:35 UTC, el protocolo de reestaking de liquidez Kelp DAO sufrió una grave brecha de seguridad en su puente entre cadenas impulsado por LayerZero. El atacante logró drenar con éxito 116,500 rsETH ( Ether reestacado), valorados en aproximadamente 292–293 millones de dólares. Esta cantidad representaba aproximadamente el 18% del suministro circulante total de rsETH y es la mayor hackeo DeFi registrado en 2026 hasta ahora.
Cómo se desarrolló el ataque
El puente rsETH de Kelp DAO dependía de la infraestructura de mensajería entre cadenas de LayerZero, específicamente del contrato EndpointV2, para permitir transferencias de activos sin problemas entre diferentes blockchains. El atacante explotó esto llamando a la función lzReceive e inyectando un mensaje entre cadenas falsificado. Este mensaje manipulado engañó la lógica de verificación del puente haciéndole creer que fondos legítimos habían llegado desde otra red, causando la liberación de 116,500 rsETH directamente a una dirección controlada por el atacante.
La cartera utilizada en la explotación había sido financiada a través de Tornado Cash aproximadamente 10 horas antes, una técnica común para ocultar el origen de las transacciones. El puente estaba activo en la red principal de Ethereum y en varias redes de capa 2, incluyendo Arbitrum, lo que facilitó el impacto rápido entre cadenas. Los analistas han señalado una dependencia excesiva de las configuraciones predeterminadas y la documentación de LayerZero como factores contribuyentes.
Respuesta rápida de Kelp DAO
El equipo de Kelp DAO detectó la actividad sospechosa rápidamente y emitió un comunicado:
“Identificamos actividad sospechosa entre cadenas que involucra rsETH. Mientras continúa la investigación, hemos pausado los contratos de rsETH en la red principal y varias redes L2. Estamos trabajando estrechamente con LayerZero, Unichain, nuestros auditores y expertos en seguridad líderes en un análisis de causa raíz.”
Al pausar inmediatamente los contratos de rsETH, el protocolo evitó posibles drenajes posteriores estimados en más de $100 millones. Sin embargo, la pérdida de liquidez afectó gravemente el valor de rsETH y dejó activos de ETH envueltos varados en más de 20 cadenas diferentes.
Efecto dominó en DeFi y crisis de liquidez
El hack provocó una “corrida bancaria” generalizada en el ecosistema DeFi. Plataformas de préstamo importantes como Aave activaron congelaciones de emergencia en el mercado, con aproximadamente $9 mil millones ( retirados, lo que representa alrededor del 33% de su TVL), y se crearon entre 196 y 236 millones de dólares en deuda incobrable. Protocolos similares como SparkLend, Fluid, Upshift, Morpho y otros también enfrentaron presiones de liquidez.
El valor total bloqueado en DeFi (TVL) disminuyó entre 8 y 13 mil millones de dólares en 48 horas, con estrés incluso en algunos pools de Solana. El incidente volvió a poner en evidencia que los puentes entre cadenas son uno de los componentes más vulnerables en la infraestructura DeFi. Solo en abril de 2026, los hackeos superaron los $600 millones en pérdidas totales, con el evento de Kelp DAO superando el récord anterior establecido por el incidente del Drift Protocol ( aproximadamente 280–286 millones de dólares) hace solo tres semanas.
Especulación sobre Lazarus Group y investigación en curso
Varias firmas de seguridad y analistas en cadena han sugerido posibles vínculos con Lazarus Group, vinculado a Corea del Norte, y LayerZero también ha indicado señales relacionadas. Aún no se ha emitido ninguna confirmación oficial. Parte de los fondos robados ya han sido intercambiados por ETH en Ethereum y Arbitrum mientras el atacante intenta ocultar la pista; los esfuerzos de rastreo continúan.
Lecciones para la industria
El hackeo del puente de Kelp DAO subraya los riesgos significativos inherentes al reestaking de liquidez y a las arquitecturas de puentes omnichain. Aunque LayerZero y soluciones similares ofrecen una interoperabilidad poderosa, siguen siendo susceptibles a puntos únicos de fallo y ataques de falsificación de mensajes.
Kelp DAO se ha comprometido a publicar un informe detallado de la investigación una vez que concluya. Para los usuarios y desarrolladores de DeFi, este evento sirve como un recordatorio contundente de la necesidad de fortalecer la seguridad de los puentes, implementar sistemas de múltiples verificadores robustos y mejorar los protocolos de respuesta ante emergencias.