KelpDAO fue hackeado, afectando a toda la industria DeFi, ¿cómo resolver las enormes deudas incobrables?

Editado | Wu sobre Blockchain

18 de abril, los activos cross-chain rsETH de KelpDAO sufrieron un ataque masivo, con una pérdida de aproximadamente 290 millones de dólares (alrededor de 116,500 rsETH, que representan el 18% de la oferta en circulación). LayerZero Labs en su última declaración atribuyó preliminarmente este ataque al Grupo Lazarus de Corea del Norte (también conocido como TraderTraitor). Los atacantes contaminaban los nodos RPC downstream de LayerZero DVN y, en conjunto con ataques DDoS, inducían fallos de transferencia, haciendo que DVN confirmara “la transacción no ocurrió”, y así falsificaban mensajes cross-chain.

Aunque este incidente no fue dirigido directamente contra el protocolo Aave en sí, provocó un impacto de liquidez sistémico raro en la historia de DeFi. El TVL de Aave cayó en unas 48 horas aproximadamente 8.45 mil millones de dólares (la monitorización más reciente indica una caída de unos 8 a 9.5 mil millones), el TVL total de DeFi en toda la cadena se redujo de 99,497 millones a 86,286 millones de dólares, evaporando 13,21 mil millones. El evento se propagó rápidamente desde cadenas EVM a Solana, donde protocolos de préstamo como Kamino vieron la tasa de uso de USDC subir instantáneamente al 100%, y la industria DeFi entró en modo “prueba de estrés”.

La oficina oficial de LayerZero reveló: fallo en un punto único, no una vulnerabilidad del protocolo

LayerZero Labs publicó el 20 de abril una explicación detallada, confirmando que el ataque fue dirigido específicamente a la configuración de DVN 1/1 utilizada por KelpDAO (dependiendo únicamente de un validador de LayerZero Labs), lo cual se aparta de la práctica recomendada habitual de redundancia multi-DVN. Los atacantes, mediante envenenamiento, reemplazo binario y DDoS, inducían fallos de transferencia, haciendo que DVN confirmara “la transacción no ocurrió”, pero sin aprovechar vulnerabilidades en protocolos o claves. El impacto se limitó a rsETH, sin extenderse a otros activos OApp/OFT. LayerZero desactivó y reemplazó todos los RPC afectados, restauró la operación de DVN y solicitó que todos los proyectos con configuración 1/1 migraran pronto a multi-DVN. Además, colaboran con agencias internacionales para rastrear los fondos.

Sin embargo, el desarrollador principal de Yearn Finance, banteg, cuestionó claramente esta descripción. Indicó que calificar el incidente como “RPC poisoning” (envenenamiento de RPC) no es preciso y confunde conceptos. En ataques tradicionales, el envenenamiento de RPC implica que los atacantes manipulan la resolución compartida (DNS, ARP, cachés, etc.) fuera de los límites de confianza, y la parte receptora no sospecha del origen. Pero en este caso, los atacantes ya accedieron a la frontera de confianza interna de LayerZero, accediendo a la lista de RPC, comprometiendo dos nodos dependientes de DVN y reemplazando el binario op-geth, lo cual se asemeja más a una intrusión en la infraestructura interna (infra breach) o un ataque de cadena de suministro, no a un típico envenenamiento externo de red. banteg considera que esta descripción subestima la gravedad del ataque y recomienda que, antes de identificar claramente la fuente de la vulnerabilidad, no se reanude la puente cross-chain.

Aave en primera línea: aproximadamente 200 millones de dólares en préstamos incobrables + corrida de liquidez

Tras el ataque, los hackers usaron los rsETH robados como colateral para tomar prestado ETH en Aave, generando aproximadamente 195–216 millones de dólares en préstamos incobrables que no pudieron ser recuperados mediante liquidaciones normales. En varias plataformas de Aave V3, la utilización de ETH alcanzó en un momento el 100%, provocando una ola masiva de retiros — Justin Sun retiró solo unos 65,5 mil ETH. Datos de DeFiLlama muestran que en los últimos dos días, el TVL de Aave se redujo en más de 8 mil millones de dólares, extendiendo el pánico en el mercado.

Monetsupply.eth, director estratégico de Spark, señaló que Spark ya había eliminado en enero activos de bajo uso como rsETH, restringiendo el rango de colaterales. Aunque en el corto plazo hubo pérdidas en algunos negocios, la estrategia prudente resultó efectiva: el mercado ETH de SparkLend aún mantiene suficiente liquidez para retiros, mientras que en múltiples mercados de Aave en diferentes cadenas, la liquidez se ha vuelto escasa.

¿Cómo resolver la gran cantidad de préstamos incobrables? Tres caminos frente a nosotros

El cofundador de DeFiLlama, 0xngmi, analizó que KelpDAO enfrenta tres principales opciones de gestión:

1. Compartir las pérdidas entre todos los usuarios: lo que implica una reducción del 18.5%, generando unos 216 millones de dólares en préstamos incobrables. De estos, aproximadamente 55 millones de dólares podrían ser cubiertos por Umbrella ETH, otros 85 millones por el tesoro de Aave, y los aproximadamente 76 millones restantes podrían cubrirse mediante deuda o vendiendo tokens AAVE por valor de unos 51 millones de dólares en el tesoro.

2. Concentrar las pérdidas en los poseedores de rsETH en L2: lo que podría causar unos 341 millones de dólares en préstamos incobrables, sin cobertura por parte de Umbrella.

3. Compensación basada en una instantánea previa al ataque: dado que los fondos ya han tenido movimientos significativos y el protocolo usa una estructura de pools, la ejecución sería difícil. Aun así, tras la cobertura por Umbrella, aún podrían quedar unos 91 millones de dólares en pérdidas.

Yishi, fundador de OneKey, afirmó que la mejor solución sería “negociar con los hackers, ofreciendo una recompensa del 10–15%”; si la negociación fracasa, el fondo ecológico de LayerZero podría asumir la mayor parte de la pérdida. Como “la parte más débil”, KelpDAO podría compensar con tokens o ingresos futuros, o considerar una venta total a LayerZero (L0) o BMNR. La protección final la ofrecen Umbrella y stkAAVE, pero también advierte que los depositantes en WETH no deberían soportar la reducción, ya que esto podría revalorizar protocolos como Morpho, Spark, Fluid, Euler, etc., y dañar la confianza en toda la categoría LRT.

Actualmente, el módulo de seguridad de Umbrella de Aave enfrenta su primera prueba de estrés real, y aún no está claro si podrá cubrir completamente la brecha.

La posición de la Fundación Ethereum en el centro de atención, y la confianza del sector en crisis

El analista de DeFi, Ignas, señaló que la Fundación Ethereum (EF) tiene aproximadamente 48 millones de dólares en activos en la red principal de Aave. Si el mercado principal no sufre reducciones, esto sería más seguro para la posición de EF. La EF había evitado durante mucho tiempo DeFi, y recientemente empezó a configurar “DeFi de bajo riesgo”; este incidente podría influir en sus decisiones futuras.

En un nivel más amplio, el evento ha provocado una reflexión en la industria: los riesgos de confianza en los colaterales LST/LRT externos, los peligros de fallos en puntos únicos en puentes cross-chain, y los mecanismos de liquidez en DeFi bajo presión extrema. En Solana, Kamino Prime Market USDC Reserve alcanzó una utilización del 100%, y varios Vault superaron el 95%, mostrando que la fuga de fondos ya se ha extendido a través de cadenas.

¿La “mayoría de edad” de DeFi o un punto de inflexión?

No se trata de una vulnerabilidad en el código de Aave, sino de una reacción en cadena sistémica provocada por “confianza errónea en activos colaterales”. Como señalan varios analistas, la configuración 1/1 DVN de KelpDAO y la dependencia excesiva de los protocolos en colaterales externos son un reflejo del riesgo colectivo.

LayerZero enfatiza que “la arquitectura modular de seguridad ha aislado el impacto”, pero la industria aún necesita mecanismos más estrictos de ingreso de colaterales, estándares obligatorios multi-DVN y mejores mecanismos de reparto de pérdidas.

Si Aave logra superar esta prueba con Umbrella, será un indicador clave de la resiliencia de DeFi. A corto plazo, la salida de TVL y el pánico podrían continuar; a mediano y largo plazo, si las pérdidas se gestionan ordenadamente y se impulsan mejoras en los protocolos, este incidente podría convertirse en un hito en la gestión de riesgos. De lo contrario, como teme Yishi, la reconstrucción de confianza en la categoría LRT y en todo DeFi podría requerir mucho más tiempo.