$292 millones desaparecidos en 46 minutos: Dentro del hackeo DeFi de Kelp DAO

TLDR

• El puente de Kelp DAO impulsado por LayerZero fue explotado el sábado, drenando 116,500 rsETH por un valor de ~$292 millones
• El atacante engañó a la capa de mensajería de LayerZero para liberar fondos a una dirección controlada por el atacante
• Aproximadamente $250 millones de fondos robados fueron convertidos a ETH; se utilizó una dirección financiada por Tornado Cash
• Al menos nueve protocolos congelaron los mercados de rsETH, incluyendo Aave, SparkLend y Fluid
• Esta es ahora la mayor explotación de DeFi de 2026, superando el hackeo de Drift Protocol del 1 de abril

Un atacante drenó 116,500 rsETH del puente de Kelp DAO impulsado por LayerZero el sábado a las 17:35 UTC, llevándose aproximadamente $292 millones en criptoactivos.

La cantidad robada representa aproximadamente el 18% del suministro circulante total de rsETH de 630,000 tokens, según datos de CoinGecko.

Kelp DAO es un protocolo de restaking líquido. Toma ETH depositado por usuarios, lo enruta a través de EigenLayer para obtener rendimiento adicional, y emite rsETH como un token de recibo negociable.

El atacante engañó a la capa de mensajería cross-chain de LayerZero haciéndole creer que había llegado una instrucción válida desde otra red. Esto causó que el puente de Kelp liberara los fondos a una billetera controlada por el atacante.

El multisig de emergencia de Kelp pausó los contratos principales del protocolo 46 minutos después del drenaje, a las 18:21 UTC. Dos intentos posteriores de drenar otros 40,000 rsETH — con un valor aproximado de $100 millones — fueron bloqueados.

Los fondos robados fueron movidos a través de una dirección financiada por Tornado Cash. Aproximadamente $250 millones del rsETH robado ya habían sido convertidos a ETH, según la firma de seguridad blockchain Cyvers.

Las consecuencias se extienden por DeFi

El puente que fue drenado mantenía la reserva que respaldaba el rsETH envuelto en más de 20 blockchains, incluyendo Base, Arbitrum, Linea, Blast y Scroll.

Con esa reserva desaparecida, los poseedores de rsETH en redes de capa 2 ahora enfrentan incertidumbre sobre si sus tokens están completamente respaldados.

Aave congeló los mercados de rsETH en V3 y V4 pocas horas después de la explotación. El token de Aave cayó aproximadamente un 10% mientras los mercados valoraban el riesgo de potencial deuda incobrable.

SparkLend y Fluid también congelaron sus mercados de rsETH. Lido Finance pausó los depósitos en su producto earnETH, que tiene exposición a rsETH, mientras aclaraba que su protocolo de staking principal no estaba involucrado.

Ethena pausó sus puentes LayerZero OFT desde la mainnet de Ethereum como precaución durante aproximadamente seis horas, diciendo que no tenía exposición a rsETH.

Kelp publicó su primera respuesta pública a las 20:10 UTC — casi tres horas después del ataque. El protocolo dijo que estaba trabajando con LayerZero, Unichain, sus auditores y especialistas de seguridad externos.

Un período difícil para DeFi en 2026

El CEO de Cyvers, Deddy Lavid, dijo que el incidente muestra los riesgos de composabilidad en DeFi, donde los protocolos están profundamente conectados.

El Drift Protocol, una plataforma basada en Solana, fue drenado de aproximadamente $285 millones el 1 de abril en un ataque vinculado a actores afiliados a Corea del Norte.

Protocolos más pequeños incluyendo CoW Swap, Zerion, Rhea Finance y Silo Finance también han sido explotados en semanas recientes.

Las pérdidas totales de criptomonedas por hackeos y estafas alcanzaron aproximadamente $482 millones en el Q1 2026, según Cyvers.

La explotación de Kelp DAO ahora se posiciona como el mayor hackeo DeFi de 2026, superando a Drift por varios millones de dólares.

Kelp no ha revelado cómo el atacante evadió la lógica de validación del puente al momento de la publicación.

La publicación $292 millones desaparecidos en 46 minutos: Dentro del hackeo DeFi de Kelp DAO apareció primero en CoinCentral.