2026 mayor brote de incidentes de seguridad: el puente cruzado Kelp DAO rsETH fue hackeado, con pérdidas de hasta 293 millones de dólares, y protocolos DeFi como Aave enfrentaron enormes deudas incobrables

Resumen | Grok

Editor | Wu habla de blockchain

19 de abril (el evento ocurrió realmente el 18 de abril a las 17:35 UTC aproximadamente), el mundo de las criptomonedas fue completamente inundado por la noticia del uso masivo del puente cross-chain Kelp DAO rsETH.

Este es el mayor incidente de seguridad en DeFi desde 2026, con pérdidas de aproximadamente 292–293 millones de dólares, involucrando directamente unas 116,500 rsETH (alrededor del 18% del total en circulación de rsETH).

Los hackers, mediante un mensaje falsificado a través del puente cross-chain impulsado por LayerZero, acuñaron en la red principal de Ethereum una gran cantidad de rsETH sin respaldo real, y luego usaron estos “activos de aire” como colateral en protocolos de préstamo como Aave, Compound, Euler, etc., prestando aproximadamente 236 millones de dólares en activos reales como WETH/ETH, lo que provocó que varios protocolos enfrentaran riesgos de deuda incobrable por un total de aproximadamente 177–280 millones de dólares. El evento se viralizó rápidamente en la plataforma X (antes Twitter), con discusiones en comunidades en chino e inglés que superaron los mil millones en pocas horas, generando amplias dudas sobre la seguridad de los puentes cross-chain, el mecanismo de recolateralización LRT y los riesgos sistémicos en DeFi.

Cronología completa del evento

18 de abril, aproximadamente a las 17:35 UTC: inicio formal del ataque. Los hackers aprovecharon una vulnerabilidad en la configuración del Kelp DAO en el puente cross-chain LayerZero (modo DVN 1/1, es decir, un solo nodo de validación descentralizado), falsificando mensajes cross-chain y llamando a la función lzReceive en la red principal de Ethereum para liberar 116,500 rsETH sin respaldo real. Varias personas en X (como @zachxbt) publicaron inmediatamente los hashes de las transacciones y registros de acuñación anómalicos.

Fase intermedia del ataque: los hackers usaron herramientas de privacidad como Tornado Cash para confundir el origen de los fondos, y rápidamente depositaron los rsETH falsificados en 9 protocolos de préstamo principales como Aave V3, Compound, Euler, etc., como colateral para prestar grandes cantidades de ETH/WETH reales. Los posts en tiempo real en la comunidad de X mostraron que la utilización de los pools de préstamo alcanzó casi el 100%, y en un solo día salieron más de 6.6 mil millones de dólares en fondos.

Respuesta de Kelp DAO: aproximadamente 46 minutos después del inicio, la billetera multisig de Kelp DAO detectó actividad sospechosa y suspendió de emergencia las funciones relacionadas con rsETH en la red principal y varias cadenas L2. La cuenta oficial en X publicó inmediatamente confirmando “actividad sospechosa en el cross-chain de rsETH” y anunció que se había iniciado una investigación con el equipo de LayerZero, auditores y expertos en seguridad.

Desde la noche del 18 de abril hasta el 19 de abril: la cuenta oficial de Aave en X emitió un comunicado, congelando de emergencia el mercado de colateral de rsETH para evitar que la deuda incobrable se expandiera. Protocolos como Compound y Euler también suspendieron o limitaron operaciones con esos activos. LayerZero respondió en X diciendo “estamos al tanto del evento y estamos investigando la causa raíz”.

Todo el proceso fue documentado en tiempo real en X, con varios influencers compartiendo datos en cadena y mencionando especialmente a grandes tenedores como Justin Sun, quienes retiraron fondos en gran volumen de Aave, aumentando aún más la alarma en el mercado.

Análisis técnico (desarrolladores y expertos en seguridad en X)

Según varias publicaciones técnicas en X (como el análisis profundo en chino de @kittendong), la vulnerabilidad principal en este ataque fue la configuración del Kelp DAO en LayerZero OApp (Omnichain Application): el modo DVN 1/1 (solo un nodo de validación), que permitió a los hackers falsificar mensajes de validación cross-chain. Mediante cargas útiles cuidadosamente diseñadas, lograron activar en la cadena objetivo la acuñación de rsETH sin respaldo real. Este mecanismo esencialmente permitió a los hackers obtener activos sintéticos por valor cercano a 3 mil millones de dólares “de la nada”.

Luego, los hackers usaron estos rsETH como colateral sobregarantizado (over-collateralized) en protocolos de préstamo, prestando ETH reales y realizando ataques de tipo flash loan. Los expertos en seguridad en X señalaron que esto es muy similar al incidente de Nomad en 2022, exponiendo el riesgo sistémico de la combinación “puente cross-chain + LRT (Liquid Restaking Token)”: los rsETH, como derivados de re-collateralización, dependen del staking de ETH subyacente, pero la acuñación cross-chain carece de validación descentralizada suficiente y chequeos de respaldo en tiempo real.

Además, algunos posts sugieren que los hackers podrían haber aprovechado claves privadas o configuraciones filtradas del contrato de Kelp DAO (aún en investigación), y que toda la cadena de ataque fue eficiente y discreta, con costos de gas ocultos mediante múltiples técnicas de confusión.

Respuesta oficial y medidas de emergencia

Kelp DAO: en su publicación en X, confirmaron que “se suspendieron las funciones de los contratos de rsETH en múltiples cadenas para evitar mayores pérdidas”, y prometieron “colaborar con LayerZero, auditores y otros para publicar un informe preliminar en 24–48 horas”.

LayerZero: en su cuenta oficial en X, indicaron que “el equipo está investigando a fondo la causa raíz y proporcionará actualizaciones transparentes lo antes posible”, además de solicitar a todos los proyectos integrados con LayerZero que revisen inmediatamente la configuración del umbral DVN.

Aave: en su comunicado en X, afirmaron que “se congelaron los mercados relacionados con rsETH y la liquidez del protocolo está segura”, aunque la comunidad sigue preocupada por un posible monto de deuda incobrable que podría llegar a 280 millones de dólares.

Otros protocolos afectados (como Compound, Euler) también publicaron anuncios similares, y en X se actualizan en tiempo real los esfuerzos de al menos 16 protocolos de préstamo y DEX en limitar operaciones.

Impacto en el mercado y reacción en cadena

El evento causó un impacto severo en el mercado DeFi:

Precio de tokens: AAVE cayó entre 17 y 19% en 24 horas, provocando liquidaciones masivas; ZRO, token nativo de LayerZero, cayó aproximadamente un 20%; rsETH perdió su anclaje, con un precio muy por debajo de ETH en ese momento.

Impacto en liquidez: los pools de ETH en Aave y otros protocolos alcanzaron casi el 100% de utilización, con salidas diarias superiores a 6.6 mil millones de dólares, evaporando casi 10 mil millones en TVL en DeFi en poco tiempo.

Efecto contagio: varios analistas en X trazaron “mapas de contagio” señalando que las deudas incobrables podrían afectar todo el ecosistema LRT y los activos cross-chain.

Comparación histórica: este incidente superó las pérdidas de aproximadamente 285 millones de dólares en el protocolo Drift hace 18 días, convirtiéndose en el mayor hackeo en DeFi en 2026.

Numerosos posts acusan que el modo DVN 1/1 de LayerZero es una “bomba de tiempo”, llamando a todos los proyectos cross-chain a actualizar a validación múltiple (al menos 2/3 o más). Algunos desarrolladores advierten que “la velocidad no debe sacrificar la seguridad”.

Riesgos de LRT y activos sintéticos: la comunidad considera que los activos de re-collateralización como rsETH tienen poca transparencia en escenarios cross-chain, y @zachxbt y otros posts enfatizan que “los LRT sin respaldo real son la mayor superficie de ataque actual”.

Preocupaciones sistémicas en DeFi: varios analistas simulan reacciones en cadena y recomiendan a los usuarios revisar sus posiciones en Aave, Compound y otros protocolos, y retirar fondos expuestos. En los comentarios en chino abundan expresiones como “otro puente de mil millones en pérdidas”, “¿Se puede confiar en DeFi?” y “exigen estándares de seguridad más altos”.

Algunos posts elogian la rápida respuesta de la multisig de Kelp DAO (detención en 46 minutos), y creen que el evento impulsará la adopción de soluciones como pruebas de conocimiento cero (ZK), multisignaturas y monitoreo en tiempo real.

El ánimo general es de “impacto + alerta”, aunque algunos desarrolladores opinan que “exponer los problemas ayuda más que ocultarlos, para la evolución a largo plazo del sector”.

Lecciones y recomendaciones para la industria

Este incidente con rsETH de Kelp DAO vuelve a sonar la alarma: incluso los protocolos de re-collateralización más populares tienen vulnerabilidades sistémicas en el diseño de puentes cross-chain, configuración de validadores y transparencia en colaterales. La comunidad en X coincide en que:

Las plataformas deben revisar inmediatamente sus integraciones con LayerZero, priorizando configuraciones más descentralizadas.

Los usuarios deben ser cautelosos con los nuevos activos LRT en cross-chain, prefiriendo proyectos con alto TVL, auditorías transparentes y diversificación de riesgos.

La industria debe acelerar la adopción de marcos de seguridad estandarizados, como validación múltiple, chequeos en cadena en tiempo real y pruebas de respaldo.

El evento sigue en investigación, y Kelp DAO, LayerZero y los protocolos afectados continuarán actualizando en X. La volatilidad del mercado cripto persiste, y la seguridad sigue siendo la prioridad principal. Se recomienda a todos los participantes seguir de cerca las cuentas oficiales para evitar desinformación.