Análisis completo del ataque al puente cross-chain de Kelp DAO: cómo se activa la vulnerabilidad de firma única y el riesgo sistémico de 2.93 mil millones de dólares en DeFi

El 18 de abril de 2026, aproximadamente a las 17:35 UTC, el protocolo de rehipotecado en movimiento Kelp DAO sufrió un ataque masivo en su puente cross-chain de rsETH. Los atacantes aprovecharon una vulnerabilidad en la configuración de LayerZero para crear de la nada aproximadamente 116,500 rsETH en la red principal de Ethereum, valorados en unos 293 millones de dólares en ese momento, representando aproximadamente el 18% del suministro total de rsETH. Este es el evento de seguridad DeFi de mayor escala hasta la fecha en 2026.

La gravedad del ataque radica en las operaciones posteriores: los hackers no optaron por vender directamente en el mercado secundario rsETH — cuya liquidez no era suficiente y una venta grande provocaría deslizamientos severos— sino que usaron estos “activos de aire” como colateral en protocolos de préstamo como Aave V3, Compound V3 y Euler, prestando aproximadamente 236 millones de dólares en ETH/WETH reales.

La naturaleza central de este incidente puede resumirse como: vulnerabilidad en la configuración del puente cross-chain + arbitraje de colaterales en protocolos de préstamo + riesgo sistémico que se propaga. Como token de rehipotecado en movimiento, rsETH debería estar respaldado por activos reales en el puente cross-chain; pero cuando los fondos en el puente se vacían, el valor de rsETH se ancla a cero instantáneamente, mientras que los oráculos de protocolos como Aave siguen valorando los colaterales a precios originales, generando una gran cantidad de deudas incobrables.

Los atacantes, rastreando en la cadena, lograron obtener aproximadamente 106,466 ETH (valor aproximado de 250 millones de dólares), de los cuales unos 196 millones de dólares provienen de la liquidación en Aave. Posteriormente, Aave congeló todos los mercados relacionados con rsETH y estimó que las pérdidas del protocolo oscilaban entre 177 y 196 millones de dólares.

Ataque de firma única mortal: Análisis técnico profundo de la vulnerabilidad en la configuración de LayerZero

Núcleo de la vulnerabilidad: La configuración ignorada de 1/1 DVN

El ataque no se centró en una vulnerabilidad en el código del contrato inteligente, sino en un error en la configuración de los parámetros de despliegue. El contrato de puente cross-chain de LayerZero utilizado por Kelp DAO empleó una configuración de 1/1 DVN (Red de Verificadores Descentralizados), es decir, solo un nodo validante era necesario para aprobar mensajes cross-chain. Cosine, fundador de SlowMist, señaló en X que la documentación oficial de LayerZero recomienda por defecto una configuración de 2/2 DVN, que usa múltiples nodos validantes para redundancia.

El mecanismo DVN de LayerZero V2 delega las decisiones de seguridad a la capa de aplicación: cada protocolo puede decidir cuántos nodos validantes deben confirmar simultáneamente para aprobar un mensaje. Kelp DAO estableció un umbral en el extremo más severo: “1 de 1”, solo un nodo necesita validar para liberar los fondos. Esta configuración crea una brecha de “punto único de fallo” que puede ser explotada por atacantes.

Restitución del camino de ejecución del ataque

Los atacantes, mediante paquetes de datos cross-chain cuidadosamente construidos, llamaron a la función lzReceive en el contrato EndpointV2 de LayerZero, enviando un mensaje falsificado al contrato puente de Kelp. Este mensaje afirmaba que en la cadena fuente se había bloqueado rsETH y solicitaba que la cadena destino (la red principal de Ethereum) liberara la misma cantidad de rsETH.

El punto clave de la vulnerabilidad radica en que el contrato puente de Kelp no verificó estrictamente la “cadena fuente” del mensaje cross-chain. El contrato confió en los mensajes provenientes de LayerZero y ejecutó la liberación, aunque en realidad no se había depositado ningún rsETH en la cadena fuente.

Los fondos de las transacciones de los atacantes provienen de Tornado Cash, lo que indica que previamente realizaron una preparación de fondos con anonimización suficiente.

Brecha en auditoría: ¿Por qué las herramientas de auditoría en conjunto no detectaron nada?

Este incidente difiere fundamentalmente de ataques comunes como reentradas o desbordamientos de enteros en contratos inteligentes. Las auditorías de seguridad tradicionales en DeFi se enfocan en detectar vulnerabilidades en el código del contrato, y herramientas como Slither o Mythril tienen poca capacidad para detectar riesgos en configuraciones. Estudios muestran que incluso las vulnerabilidades explotables en el código solo son detectadas en un 8-20% de los casos. Los parámetros de configuración (como el umbral DVN o el número de nodos validantes) no son detectados por análisis estáticos, creando una brecha estructural en la auditoría de seguridad.

Restitución en cadena: cronología de 46 minutos y rastreo de flujo de fondos de 250 millones de dólares

Línea de tiempo clave

Fuente: registros de rastreo en cadena

Desglose del flujo de fondos

A continuación, se muestra claramente cada paso en la conversión de “air rsETH” en ETH real:

Fuente: rastreo en cadena y reportes oficiales posteriores de múltiples protocolos

El ataque completo duró solo unos 46 minutos, desde la primera operación hasta que Kelp DAO pausó los contratos, habiendo completado las operaciones clave de colateralización y préstamo. Es importante notar que el equipo de Kelp emitió su primer comunicado público casi tres horas después del ataque.

Impacto en el mercado: pérdida de TVL en Aave por 66 mil millones de dólares en un día y caída generalizada de tokens

Crisis de liquidez en Aave y retirada institucional

El incidente en Kelp desencadenó una retirada masiva de fondos en Aave. Según datos de DefiLlama, el TVL total en Aave cayó de aproximadamente 264 mil millones de dólares el 18 de abril a 179.47 mil millones en dos días, una reducción de 84.5 mil millones. El TVL total en DeFi en cadena también bajó de 994.97 mil millones a 862.86 mil millones en ese período, una pérdida de 132.1 mil millones en dos días.

En un solo día, se retiraron aproximadamente 66 mil millones de dólares en fondos de Aave, incluyendo 33 mil millones en stablecoins. Al 20 de abril de 2026, según datos de Gate, el precio de AAVE era de 91.66 USD, con una caída del 1% en 24 horas. La liquidación en el fin de semana elevó las tarifas diarias del protocolo a casi 2 millones de USD.

Estas salidas no fueron pánico minorista, sino una estrategia de gestión de riesgo por parte de instituciones y grandes tenedores. Datos en cadena muestran que Justin Sun retiró unos 65,584 ETH (aprox. 154 millones USD) de Aave. La utilización de fondos en ETH en Aave alcanzó el 100%, y las tasas de préstamo en USDT y USDC subieron hasta un 15%, con rendimientos anuales del 13.4%, indicando una contracción significativa de liquidez.

Rendimiento de tokens relacionados y su comportamiento en el mercado

Al 20 de abril de 2026, según datos de Gate:

• KernelDao (KERNEL): La confianza en este token se vio afectada por el ataque. El precio en Gate fue de 0.0692 USD, con una caída del 4.25% en 24 horas. En la semana, cayó un 17.62%, con una capitalización de aproximadamente 11.29 millones USD.
• AAVE (AAVE): Tras el evento, el token cayó más del 22%, actualmente en 91.66 USD, reflejando una reevaluación del riesgo en los colaterales de Aave. La capitalización es de unos 1,38 mil millones USD, con una caída del 17.89% en el último mes.
• LayerZero (ZRO): Como token de infraestructura cross-chain, ZRO cayó más del 40% tras el evento. Actualmente, se recuperó a 1.61 USD, con un aumento del 5.85% en 24 horas, pero en la semana aún pierde un 16.3%, con una capitalización de aproximadamente 406.5 millones USD.

Respuesta defensiva en toda la industria

Tras el incidente, varias plataformas tomaron medidas preventivas de emergencia:

• Curve Finance suspendió toda infraestructura basada en LayerZero, incluyendo puentes en BNB Chain, Sonic y Avalanche, y el puente de crvUSD. La medida fue preventiva, sin que la plataforma sufriera un ataque directo.
• Morpho pausó el puente cross-chain OFT del token MORPHO en Arbitrum, también por precaución.
• El protocolo Reserve suspendió la emisión de eUSD y USD3, ya que sus pools de colaterales incluían rsETH, aunque la función de redención permaneció activa.

Además, los exchanges core de Corea del Sur, Upbit y Bithumb, emitieron advertencias a los inversores sobre Kernel DAO, recomendando cautela.

Reconfiguración paradigmática: confianza en cross-chain, riesgos de LRT y brechas en auditoría

Impacto en la confianza en infraestructura cross-chain

Este incidente representa otra prueba importante a la seguridad de los puentes cross-chain. Desde Nomad en 2022 hasta Kelp DAO en 2026, la validación de mensajes cross-chain ha sido un punto débil recurrente. La tendencia reciente es que varios proyectos, incluyendo Solv, han anunciado que dejarán de usar LayerZero OFT.

Las medidas preventivas de Curve y Morpho, aunque protegen a los usuarios a corto plazo, también evidencian una dependencia excesiva de infraestructura compartida. Cuando un protocolo tiene un problema, otros deben reaccionar para proteger sus fondos, lo que puede fragmentar la liquidez y reducir la confianza en los puentes cross-chain.

Riesgos en tokens de rehipotecado en movimiento (LRT)

rsETH, como token de rehipotecado en movimiento, depende de los activos en el puente. La vulnerabilidad revelada en este evento es la siguiente: “Puente atacado → fondos en la reserva vaciados → valor de LRT a cero → colaterales en préstamo fallan → pérdidas en los protocolos de préstamo”.

Aave nunca había tenido un incidente de seguridad antes, y aunque en este caso no fue un fallo en su código, sí está relacionado con la evaluación y gestión del riesgo de los tokens LRT. Un ejemplo es Spark Protocol, que en enero retiró rsETH y otros activos de bajo uso, reforzando su gestión de colaterales y evitando impactos en esta crisis.

El fundador de Curve, Michael Egorov, comentó en X que este incidente refleja los riesgos del modelo de “préstamos no aislados” ampliamente adoptado, que aunque es escalable, conlleva mayores riesgos. La futura versión Aave V4, con un modelo de hub and spoke, podría ofrecer una estructura más segura y parcialmente aislada.

Mejora en los paradigmas de auditoría de seguridad

El incidente también revela una brecha sistémica en la auditoría de seguridad en DeFi. Como se mencionó, los riesgos en configuración y la seguridad de las claves/nodos están fuera del alcance de las herramientas y métodos actuales.

Tras el evento, LayerZero anunció que instará a todos los proyectos que usan configuración de DVN único a migrar a configuraciones de múltiples DVN, y suspendió los servicios de firma y validación para configuraciones 1/1. Esto podría impulsar un estándar mínimo de seguridad en configuraciones cross-chain. En el futuro, las auditorías de seguridad en DeFi deberán incluir revisión de parámetros de configuración, evaluación de seguridad de nodos RPC y mecanismos de multi-firma, además del código.

Conclusión

El ataque de 293 millones de dólares a Kelp DAO no solo establece un nuevo récord en pérdidas en 2026, sino que también revela una verdad que la industria ha ignorado por mucho tiempo: la seguridad en DeFi no solo depende de la calidad del código, sino también de la racionalidad en la configuración, la seguridad en la operación de nodos y la resiliencia de las dependencias ecológicas.

Desde el punto de vista técnico, una configuración de DVN en “1/1” en solo 46 minutos desencadenó una crisis sistémica que involucró a múltiples protocolos principales. Desde el mercado, Aave perdió 8.45 mil millones en TVL en dos días, y el TVL total en DeFi se redujo en más de 132 mil millones, reflejando una reevaluación del riesgo de “puentes cross-chain + colaterales LRT”.

Este evento también reafirma la naturaleza de doble filo de la estructura “lego” en DeFi: su alta capacidad de composición genera eficiencia y innovación, pero un fallo en un punto puede propagarse en minutos a todo el ecosistema.