¿Aún te atreves a guardar el dinero del mundo DeFi después de 300 millones y otros 300 millones?

Autor: Jae, PANews

La industria de las criptomonedas en abril fue un mar de cambios turbulentos, poco después de que Drift, líder en el ecosistema Solana de DEX Perp, fuera víctima de un “robo de broma” por 285 millones de dólares, el mercado entró en una tendencia de auge extremo con la moneda RAVE.

Y justo cuando RAVE comenzaba a calmarse, el mercado DeFi enfrentó un golpe directo con el ataque de hackers al principal protocolo de LRT (re-pledge de liquidez) KelpDAO en Ethereum.

El 18 de abril, KelpDAO fue atacado mediante una vulnerabilidad en el puente cross-chain basado en LayerZero, extrayendo ilegalmente aproximadamente 116,500 rsETH, con una pérdida de hasta 292 millones de dólares, superando incluso a Drift, convirtiéndose en el mayor incidente de seguridad en cadena desde 2026.

Los hackers no comprometieron el contrato de staking principal ni filtraron claves privadas, solo una pequeña fisura en la verificación cross-chain, pero esto desencadenó un riesgo sistémico en DeFi.

Cuando el apalancamiento en la re-pledge se combina con la ambición de expansión multichain, después de tres años de carrera en “rendimiento primero”, DeFi enfrenta nuevamente la pregunta de si priorizar “rendimiento” o “seguridad”.

La vulnerabilidad en la verificación de punto único desató la crisis de LRT, con un robo cercano a 3 mil millones de dólares

El protagonista del robo, KelpDAO, fue una estrella en la pista de LRT.

Su lógica comercial acertó en los puntos débiles del mercado, creando un modelo de “un pez, tres usos”. Los usuarios encapsulan activos LST (liquidez en staking) como stETH, rETH en rsETH, conservando los beneficios básicos del staking en ETH, además de las recompensas de re-pledge en EigenLayer, y pueden usar rsETH para moverse en diferentes escenarios DeFi de préstamos y minería.

Para ganar cuota de mercado, KelpDAO se expandió agresivamente a 16 cadenas públicas, y gracias a los altos rendimientos y la alta liquidez, rsETH se convirtió en un activo de colateral principal en Layer 2 y Aave, integrándose profundamente en el ecosistema DeFi de Ethereum.

Este esquema multichain depende en gran medida del protocolo de comunicación cross-chain subyacente proporcionado por LayerZero, que también se convirtió en el epicentro de la catástrofe.

El 20 de abril, LayerZero publicó un artículo de revisión del incidente, confirmando que KelpDAO fue atacado, con una pérdida de aproximadamente 290 millones de dólares. Las primeras indicaciones sugieren que el ataque pudo haber sido llevado a cabo por un actor estatal altamente sofisticado, probablemente el grupo Lazarus de Corea del Norte, específicamente TraderTraitor. Debido a que KelpDAO usa una configuración de firma única, el incidente afectó solo a su configuración de rsETH, sin impactar otros activos o aplicaciones cross-chain.

Al mismo tiempo, LayerZero admitió que KelpDAO solo utilizaba una configuración DVN 1/1, que presenta un “riesgo de punto único”, y está en contacto con todas las aplicaciones que usan esta configuración para migrar a una configuración de múltiples firmas con redundancia. Sin embargo, LayerZero no había instado previamente a KelpDAO a hacer cambios o a implementar una configuración de múltiples firmas, lo que también lo hace responsable.

Los hackers dirigieron ataques específicos a la infraestructura de LayerZero, infectando dos nodos independientes, lo que llevó a que DVN confirmara transacciones que nunca ocurrieron.

Según LayerZero, los hackers obtuvieron la lista RPC utilizada por LayerZero Labs DVN, infiltraron dos nodos independientes y reemplazaron el archivo binario op-geth, además de lanzar ataques DDoS a RPC no infectados, provocando una conmutación por error que confirmó transacciones inexistentes.

En resumen, los hackers “activaron de la nada” los permisos de retiro de rsETH.

Lo más inquietante es que, si no fuera por el mecanismo de lista negra de emergencia que se activó en los últimos 3 minutos, los hackers habrían llevado a cabo un robo adicional de 100 millones de dólares, y la pérdida total habría superado los 400 millones de dólares.

Este incidente ya tenía indicios previos.

El camino del ataque de los hackers apunta a una vulnerabilidad común en la industria: la fragilidad del mecanismo de verificación del protocolo.

En su afán por mejorar la eficiencia cross-chain, KelpDAO ignoró el problema de verificación de punto único que ha existido durante mucho tiempo, convirtiéndose en la brecha por donde los hackers entraron.

No es la primera vez que KelpDAO revela problemas de seguridad. En mayo del año pasado, debido a un error en la escala de unidades tras una actualización del contrato, se acuñaron 31.2 quintillones (cincuenta mil millones de billones) de rsETH. Aunque se destruyeron a tiempo y no hubo pérdidas, esto ya evidenciaba vulnerabilidades en su seguridad.

La competencia en el sector de re-pledge ha llevado a que la seguridad se convierta en una víctima. Para seguir creciendo, KelpDAO continúa integrando nuevos activos LST y expandiendo a nuevas redes L2. Sin embargo, cada cadena adicional y cada nuevo activo amplían exponencialmente la superficie de ataque.

Expertos en DeFi señalan que el costo de adquisición de TVL en L2 probablemente aumentará, y gran parte del TVL volverá a L1.

La “daga de doble filo” de la expansión multichain, que finalmente se convierte en una lanza que atraviesa tanto el protocolo como todo el ecosistema DeFi.

Aave sufre contaminación con rsETH, con 200 millones de dólares en préstamos incobrables y una fuga de capital de 6.6 mil millones

DeFi es como bloques de LEGO: una pieza rota puede colapsar todo el sistema.

Tras obtener rsETH ilegal, los hackers no vendieron directamente en DEX, sino que adoptaron una estrategia de “contaminación de activos”: depositaron rsETH como “colateral de alta calidad” en Aave, para obtener activos líquidos reales.

Aave V3/V4 en Ethereum y Arbitrum aceptan rsETH como colateral válido. Los hackers depositaron rsETH y tomaron prestado gran cantidad de WETH, USDC y USDT, convirtiendo activos ilegales en deudas en el protocolo.

Según estimaciones de Chaos Labs, la cantidad de deuda incobrable que enfrenta Aave supera ampliamente las expectativas del mercado, acercándose a los 200 millones de dólares.

Tras conocerse la noticia, el token AAVE cayó aproximadamente un 18%.

Desde finales del año pasado, Aave parece haber entrado en una “serie de mala suerte”. Tras varias crisis de gobernanza y una oleada de salidas de proveedores de servicios, ahora, por estar vinculado al mercado de rsETH, se ha convertido en la mejor salida de liquidez para los hackers.

Una escena en la cadena de bloques ha agravado aún más la situación de Aave.

Se detectó que Sun Yuchen retiró de forma urgente 53,665 ETH, valorados en 126 millones de dólares. Su retirada se interpretó como una señal de que los grandes inversores han perdido confianza en la seguridad del protocolo.

Seguidamente, se produjo una fuga de capital en todo el mercado. Datos de DeFiLlama muestran que Aave experimentó una salida neta de hasta 6.6 mil millones de dólares en un solo día, reduciendo su TVL en un 23%.

Aunque el problema principal no fue causado por Aave, este incidente representa una profunda prueba a su mecanismo de gestión de riesgos.

Algunos usuarios señalaron que un miembro de la comunidad advirtió hace 15 meses en el foro de gobernanza de Aave sobre el riesgo de verificación de punto único en KelpDAO. Sin embargo, el equipo de Aave no tomó ninguna medida para solucionar el problema.

En comparación, Spark ya eliminó rsETH en enero de este año. El investigador de DeFi CM afirmó claramente: todo el sistema Sky está basado en una filosofía de control de riesgos de reducción activa, que aunque puede ralentizar el desarrollo del protocolo, en momentos críticos demuestra su valor.

Las 53,665 ETH retiradas por Sun Yuchen también se depositaron en Spark. En dos días, el token SPARK subió más del 50%, en marcado contraste con AAVE.

Todd, cofundador de Nothing Research, opina que, ante una deuda incobrable de casi 200 millones de dólares, Aave podría activar su módulo de seguro “Umbrella (paraguas)”.

Aunque el módulo de seguro proporciona una primera línea de defensa, su fondo de reserva no es suficiente para cubrir completamente la pérdida de aproximadamente 200 millones de dólares.

A corto plazo, la autoconservación de Aave solo retrasará la crisis, sin resolverla adecuadamente. La brecha principal aún debe llenarse con las ganancias del protocolo o mediante emisión de tokens, y los detalles se discutirán en la comunidad.

Pools de aislamiento + obligatoriedad de seguro + revaloración del riesgo: la seguridad ya no es una “comida gratis”

El incidente de KelpDAO marca el fin de la era de la locura de LRT, y el mercado DeFi enfrentará tres cambios de control de riesgos irreversibles.

Aislamiento en los mercados de préstamos: El modelo de préstamos no aislados de Aave queda atrás; los activos se limitarán a “Pools aislados” completamente independientes. Incluso si un activo tiene problemas, no afectará a otros pools con liquidez.

Michael Egorov, fundador de Curve, señaló que el modelo de préstamos no aislados tiene buena escalabilidad, pero con mayor riesgo. Recomienda que el mercado adopte modelos completamente aislados o híbridos.

Aunque la arquitectura completamente aislada puede reducir la eficiencia del capital, aumentará significativamente la resistencia del sistema ante riesgos.

Implementación obligatoria de módulos de seguro: El módulo Umbrella convertirá la protección del protocolo de una opción en un componente obligatorio.

En el futuro, cualquier nuevo activo que quiera listar en plataformas principales como Aave deberá inyectar un porcentaje de colateral en el correspondiente fondo de seguro, como primera fuente de compensación en caso de incumplimiento o robo.

Revaloración del riesgo de activos DeFi: Yishi, fundador de OneKey, afirmó que los rendimientos y riesgos en DeFi ya no están en equilibrio, y que la seguridad tiene costos rígidos.

El mercado revalorizará los riesgos. Las tarifas del protocolo y los costos de infraestructura probablemente aumentarán, para sostener las inversiones en seguridad.

Por tanto, los activos DeFi deben ser revalorados en función de su seguridad subyacente. Los activos encapsulados como LRT tienen riesgos claramente superiores a los nativos, y las plataformas de préstamos deberían reflejar esto en sus modelos de gestión de riesgos.

El robo a KelpDAO es un espejo cruel que refleja cómo, en la búsqueda de rendimientos extremos y expansión multichain, DeFi ha ignorado colectivamente la línea de seguridad básica.

La pérdida de casi 3 mil millones de dólares es costosa, pero si logra que DeFi pase de perseguir ciegamente la composabilidad a priorizar la estabilidad, quizás sea la tarifa que el sector deba pagar para madurar.

Tras el incidente de KelpDAO, el mercado empieza a entender que el verdadero valor de DeFi radica en ofrecer una infraestructura financiera más transparente, segura y resistente al riesgo.

Y cuando pase la marea, lo que quedará serán cimientos más sólidos.