# Robo de rsETH por 293 millones de dólares: Cómo un hackeo a un puente desencadenó un colapso en cascada en DeFi
En abril de 2026, un ataque de un hacker a un puente cross-chain construido sobre LayerZero provocó el robo de 116.500 tokens rsETH, equivalentes a casi 293 millones de dólares. El incidente no se limitó a pérdidas en un solo protocolo: debido a la profunda integración de rsETH en el ecosistema de DeFi, las repercusiones se extendieron rápidamente a al menos nueve plataformas más, incluyendo Aave. Este suceso se convirtió en el mayor robo de cripto del año y puso de manifiesto la vulnerabilidad de los protocolos DeFi interconectados.
Anatomía de la vulnerabilidad: Por qué rsETH se convirtió en el punto de quiebre
rsETH es un token de restaking de Kelp DAO que representa ETH "re-stakeado". Los usuarios pueden depositar activos como stETH o cbETH y recibir rsETH, que retiene las recompensas de staking mientras se vuelve líquido y utilizable en otras aplicaciones DeFi. Gracias a esta funcionalidad, rsETH logró una adopción masiva: se usa en pools de liquidez, como colateral para préstamos y en estrategias de yield.
Sin embargo, esa misma versatilidad convirtió a rsETH en un riesgo sistémico. El ataque no apuntó a Kelp DAO en sí, sino al puente cross-chain que utiliza la infraestructura de LayerZero para transferir activos entre blockchains. El atacante explotó una vulnerabilidad en el mecanismo de verificación de mensajes cross-chain, lo que le permitió generar transacciones falsas y retirar tokens sin las reservas correspondientes.
Efecto en cascada: Cuando un protocolo arrastra al ecosistema entero
Tras el robo, el precio de rsETH cayó un 20 % en cuestión de horas. Pero el problema principal no fue la volatilidad, sino que el activo estaba integrado en docenas de protocolos. Por ejemplo:
- Aave congeló de inmediato todos los mercados relacionados con rsETH para evitar nuevos depósitos y préstamos contra este activo.
- Los pools de liquidez en DEXes comenzaron a sufrir desequilibrios por retiros masivos.
- Varias estrategias de yield automatizadas fueron detenidas manualmente por los equipos de los proyectos.
Según Cyvers, al menos nueve protocolos estuvieron en riesgo de insolvencia parcial o total. Como señaló Meir Dolev, director técnico de la compañía: «el protocolo estuvo a solo tres minutos de perder otros 100 millones de dólares», pero el oportuno listado en negro de la dirección del atacante evitó pérdidas adicionales.
Detalles técnicos del ataque: ¿Dónde falló la protección?
Aunque el informe completo de análisis de causa raíz (RCA) aún no se ha publicado, los expertos señalan posibles vectores de compromiso:
- Verificación insuficiente de mensajes fuente en la configuración del puente basado en LayerZero.
- Falta de retrasos temporales o mecanismos multi-sig para operaciones críticas de transferencia de activos.
- Modelo demasiado confiado entre contratos inteligentes en distintas redes, sin una capa adicional de verificación.
LayerZero se posiciona como una solución "ultra-ligera" para interacciones cross-chain, pero en este caso, escatimar en verificaciones llevó a consecuencias catastróficas. Esto plantea una pregunta clave: ¿qué tan seguras son las infraestructuras cross-chain modernas a gran escala?
Lecciones clave
- El riesgo sistémico en DeFi crece con la composabilidad: cuanto más protocolos usen el mismo activo, mayor será la probabilidad de un colapso en cascada.
- Los puentes cross-chain siguen siendo uno de los puntos de infraestructura más vulnerables: más del 60 % de todos los robos mayores en DeFi de la historia están ligados a puentes.
- Las respuestas rápidas de los equipos pueden evitar pérdidas adicionales: en este caso, el listado en negro salvó 100 millones de dólares.
- Los tokens de restaking requieren un enfoque de seguridad especial, sobre todo cuando se usan como colateral.
- La integración con sistemas externos (p. ej., LayerZero) exige auditorías independientes, incluso si el protocolo principal ya ha sido revisado.
El futuro de DeFi: Lecciones del desastre
Tras el incidente, Kelp DAO pausó los contratos de rsETH en Ethereum Mainnet y redes L2. El equipo está colaborando con LayerZero, Unichain, auditores y expertos en ciberseguridad para una investigación completa.
Este caso resalta la necesidad de pasar del paradigma «confía, pero verifica» a «no confíes, verifica constantemente». En particular, los desarrolladores deberían considerar:
- Introducir mecanismos de retardo temporal para transferencias grandes a través de puentes.
- Usar oráculos de segundo nivel para verificar el estado de los activos antes de la transferencia.
- Crear disparadores automatizados para pausar integraciones durante actividad anómala.
DeFi sigue evolucionando, pero sin una mayor disciplina en ingeniería y coordinación inter-protocolo, incidentes como este se repetirán, con pérdidas aún mayores.
— Editorial Team
Aún no hay comentarios.