Volver al inicio

Robo de $292M de Kelp DAO: Detalles del ataque al puente

Un ataque de hacker al protocolo Kelp DAO provocó una pérdida de $292M a través de una vulnerabilidad en el puente entre cadenas. El equipo pausó contratos, evitando más pérdidas. El incidente causó una caída en AAVE y una congelación de los mercados de rsETH.

Mayor hackeo del año: $292M robados de Kelp DAO
Advertisement 728x90

El mayor robo del año: un hacker drena 292 millones de dólares del protocolo Kelp DAO a través de un puente entre cadenas

Un ataque de hacker al protocolo de re-staking líquido Kelp DAO resultó en la pérdida de más de 116.000 tokens rsETH, equivalentes a aproximadamente 292 millones de dólares. El incidente ocurrió en la noche del 20 de abril de 2026 y se encuentra entre los más grandes en la historia de DeFi. El atacante explotó una vulnerabilidad en el puente entre cadenas estándar OFT, permitiendo que los fondos fueran drenados en minutos. El equipo del proyecto pausó rápidamente las operaciones del contrato, evitando pérdidas adicionales de 100 millones de dólares.

Mecanismo del ataque y magnitud del daño

El atacante financió previamente una billetera a través del mezclador Tornado Cash aproximadamente 10 horas antes del ataque. A las 17:35 UTC, se activó la función lzReceive en el contrato de LayerZero, tras lo cual el puente transfirió automáticamente 116.500 tokens rsETH (aproximadamente el 18% del suministro total de 630.000 tokens) a una dirección controlada por el hacker. Las redes Ethereum y Arbitrum sufrieron la mayor parte de las pérdidas. Los intentos de retirar otros 40.000 rsETH (100 millones de dólares) fueron bloqueados por el sistema de parada de emergencia activado 46 minutos después del ataque.

Respuesta del equipo e impacto en el ecosistema

Los desarrolladores de Kelp DAO activaron una pausa de emergencia que afectó al pool de depósitos, al contrato de retiro, al oráculo y al propio token rsETH. Las operaciones se detuvieron en la red principal y en varias redes de capa 2. El incidente provocó pánico en el mercado: el token AAVE cayó un 10% ante los temores de deuda problemática en la plataforma de préstamos. El equipo de Aave congeló los mercados de rsETH en V3 y V4, enfatizando que la vulnerabilidad era específica de rsETH, no de sus contratos inteligentes.

Google AdInline article slot

Vulnerabilidad del puente entre cadenas

El ataque puso de relieve una vez más los problemas de seguridad de los puentes entre cadenas, que son objetivos frecuentes de los hackers. El puente estándar OFT utilizado por Kelp DAO permite transferencias de tokens a través de más de 20 blockchains, incluyendo Base, Arbitrum, Linea, Blast, Mantle y Scroll. Los expertos señalan que la complejidad de estos sistemas aumenta la superficie de ataque, y el uso de mezcladores como Tornado Cash complica el rastreo de fondos.

Conclusiones clave

  • El hacker drenó 292 millones de dólares, lo que representa el 18% de todos los tokens rsETH.
  • El ataque fue posible gracias a una vulnerabilidad en el puente entre cadenas estándar OFT.
  • Kelp DAO evitó pérdidas adicionales de 100 millones de dólares al detener los contratos.
  • El incidente provocó una caída del 10% en el precio de AAVE y la congelación de los mercados de rsETH en Aave.
  • Los rastros conducen a Tornado Cash, lo que complica la identificación del atacante.

— Editorial Team

Advertisement 728x90

Leer después