Básico
Spot
Opera con criptomonedas libremente
Margen
Multiplica tus beneficios con el apalancamiento
Convertir e Inversión automática
0 Fees
Opera cualquier volumen sin tarifas ni deslizamiento
ETF
Obtén exposición a posiciones apalancadas de forma sencilla
Trading premercado
Opera nuevos tokens antes de su listado
Contrato
Accede a cientos de contratos perpetuos
TradFi
Oro
Plataforma global de activos tradicionales
Opciones
Hot
Opera con opciones estándar al estilo europeo
Cuenta unificada
Maximiza la eficacia de tu capital
Trading de prueba
Introducción al trading de futuros
Prepárate para operar con futuros
Eventos de futuros
Únete a eventos para ganar recompensas
Trading de prueba
Usa fondos virtuales para probar el trading sin asumir riesgos
Lanzamiento
CandyDrop
Acumula golosinas para ganar airdrops
Launchpool
Staking rápido, ¡gana nuevos tokens con potencial!
HODLer Airdrop
Holdea GT y consigue airdrops enormes gratis
Pre-IPOs
Accede al acceso completo a las OPV de acciones globales
Puntos Alpha
Opera activos on-chain y recibe airdrops
Puntos de futuros
Gana puntos de futuros y reclama recompensas de airdrop
Inversión
Simple Earn
Genera intereses con los tokens inactivos
Inversión automática
Invierte automáticamente de forma regular
Inversión dual
Aprovecha la volatilidad del mercado
Staking flexible
Gana recompensas con el staking flexible
Préstamo de criptomonedas
0 Fees
Usa tu cripto como garantía y pide otra en préstamo
Centro de préstamos
Centro de préstamos integral
Centro de patrimonio VIP
Planes de aumento patrimonial prémium
Gestión patrimonial privada
Asignación de activos prémium
Quant Fund
Estrategias cuantitativas de alto nivel
Staking
Haz staking de criptomonedas para ganar en productos PoS
Apalancamiento inteligente
Apalancamiento sin liquidación
Acuñación de GUSD
Acuña GUSD y gana rentabilidad de RWA
Promociones
Centro de actividades
Únete a actividades y gana recompensas
Referido
20 USDT
Invita amigos y gana por tus referidos
Programa de afiliados
Gana recompensas de comisión exclusivas
Gate Booster
Aumenta tu influencia y gana airdrops
Anuncio
Novedades de plataforma en tiempo real
Blog de Gate
Artículos del sector de las criptomonedas
AI
Gate AI
Tu compañero de IA conversacional para todo
Gate AI Bot
Usa Gate AI directamente en tu aplicación social
GateClaw
Gate Blue Lobster, listo para usar
Gate for AI Agent
Infraestructura de IA, Gate MCP, Skills y CLI
Gate Skills Hub
+10 000 habilidades
De la oficina al trading, una biblioteca de habilidades todo en uno para sacar el máximo partido a la IA
GateRouter
Elige inteligentemente entre más de 30 modelos de IA, con 0% de costos adicionales
KelpDAO fue hackeado, alertando sobre la seguridad en DeFi ¿Qué lecciones nos deja?
Shaw.ai, Jinse Finance
18 de abril, el mundo de las criptomonedas vivió el evento de seguridad DeFi más grave desde 2026: el puente cross-chain rsETH de KelpDAO fue hackeado, en pocas horas aproximadamente 116,500 rsETH fueron robados, con un valor estimado de hasta 290 millones de dólares según los precios en ese momento, lo que representa el 18% de la oferta total de rsETH. Este ataque no solo puso a KelpDAO en crisis, sino que también provocó un pánico de liquidez en toda la industria DeFi, incluso plataformas de préstamos líderes como Aave fueron arrastradas, con más de 9 mil millones de dólares en depósitos retirados de emergencia, constituyendo una crisis de seguridad comparable a una “tormenta financiera”.
Es posible que muchos no estén familiarizados con términos como “puente cross-chain”, “rsETH” o “corrida de liquidez”, no te preocupes, usaremos un lenguaje sencillo para reconstruir paso a paso todo el proceso del ataque, y luego hablaremos sobre las últimas novedades y las preguntas más importantes para todos.
Uno, entiende los 3 conceptos clave para comprender fácilmente el evento
Antes de explicar el proceso del ataque, primero aclaremos 3 términos esenciales, para no confundirnos:
rsETH: simplemente, es un “token derivado de ETH”. Sabemos que ETH (Ethereum) puede “poner en staking” para ganar intereses, pero al hacer staking, los fondos quedan bloqueados y no se pueden usar en cualquier momento. rsETH es un token que “empaqueta” ETH en staking; poseer rsETH equivale a tener la propiedad de esos ETH en staking, permitiendo ganar intereses, además de poder comerciar o hacer collateral en cualquier momento, es como un “cupón de cambio de ETH en staking”.
Puente cross-chain: diferentes blockchains (como Ethereum, BSC) son como “bancos” distintos, y el puente cross-chain es como un “canal de transferencia” que conecta estos “bancos”, permitiendo que tokens como rsETH se muevan entre diferentes cadenas. La vulneración ocurrió en el puente cross-chain de rsETH construido sobre la plataforma LayerZero por KelpDAO.
Módulo DVN de LayerZero: puede entenderse como el “control de seguridad” del puente cross-chain, encargado de verificar la autenticidad de las transacciones entre cadenas—por ejemplo, confirmar que realmente transferiste tokens en la cadena A antes de emitir los equivalentes en la cadena B. Normalmente, para mayor seguridad, hay múltiples “inspectores” (verificadores múltiples), pero en KelpDAO solo se configuró un “inspector” (verificador único), lo que facilitó la entrada a los hackers.
Dos, proceso completo del ataque: 3 pasos para robar 290 millones de dólares, una operación “modelo a seguir”
El ataque fue muy discreto y eficiente, completado en menos de una hora, con pasos claros, muy dirigido, y puede dividirse en 3 fases:
Primer paso: vulnerar la seguridad, “crear dinero de la nada”
Los hackers detectaron con precisión una vulnerabilidad fatal en el puente cross-chain de KelpDAO: dependía de un único verificador DVN de LayerZero. Normalmente, para crear rsETH en la cadena, se requiere un ETH en staking real como respaldo, pero los hackers, mediante técnicas, falsificaron los mensajes de verificación de transacción cross-chain, engañando a ese único “inspector”.
Más específicamente, los hackers previamente comprometieron los nodos RPC dependientes del DVN de LayerZero, reemplazaron el software del nodo, y mediante ataques DDoS, derribaron los nodos normales, forzando al “inspector” a depender de nodos manipulados para obtener información. Así, lograron “crear de la nada” en la cadena principal de Ethereum, 116,500 rsETH falsos, sin ningún respaldo real, como si tuvieran un “cupón de staking falso”, engañando a todos.
Segundo paso: usar préstamos, “convertir lo falso en verdadero”
Con estos rsETH falsos, en lugar de venderlos directamente (por miedo a ser detectados), optaron por una vía más oculta: usar plataformas de préstamos para poner en collateral y retirar dinero. Depositaron estos rsETH falsos en protocolos como Aave, Compound, entre otros, principalmente en Aave v3, usándolos como colateral para pedir prestado una gran cantidad de WETH (token envuelto de ETH, con valor igual a ETH). Es como usar “moneda falsa” para obtener “dinero real”.
Tercer paso: generar pánico, provocar corrida de liquidez
La velocidad de operación fue muy rápida: muchos rsETH falsos fueron colocados como colateral, y mucho WETH fue prestado, lo que llevó a que la liquidez del mercado WETH en Aave v3 se agotara por completo, con la tasa de utilización alcanzando el 100%—es decir, en Aave, el WETH fue completamente prestado, y los usuarios no pudieron retirar fondos.
Al difundirse la noticia, el mercado entró en pánico: todos temían que Aave sufriera grandes pérdidas por los “colaterales falsos”, poniendo en riesgo sus depósitos. Entonces, se desató una “corrida de liquidez” a gran escala: no solo en WETH, sino también en stablecoins como USDC y USDT, con inversores retirando fondos en masa. En 48 horas, más de 9 mil millones de dólares en depósitos fueron transferidos fuera de Aave, y el total de fondos en DeFi se redujo en 13.2 mil millones de dólares.
Cabe destacar que, aproximadamente 46 minutos después del ataque, KelpDAO detectó anomalías, suspendió de emergencia las funciones relacionadas con rsETH, y evitó que los hackers continuaran, de lo contrario, las pérdidas podrían haber sido mayores. Se cree que el ataque fue llevado a cabo por el grupo Lazarus de Corea del Norte, con un patrón de operación muy profesional.
Tres, últimas novedades: esfuerzos de emergencia, aún sin resolver las pérdidas
Tras el ataque, KelpDAO, LayerZero, Aave y otros actores actuaron rápidamente. Hasta el 23 de abril, los avances son:
KelpDAO: suspendió de emergencia los contratos relacionados con rsETH en la cadena principal y varias cadenas L2, colaboró con LayerZero, auditores y expertos en seguridad para investigar a fondo, aún analizando detalles de las pérdidas y buscando soluciones para las pérdidas incurridas.
LayerZero: aclaró que el ataque no fue por una vulnerabilidad en su protocolo, sino por una mala configuración en KelpDAO, que usó un “verificador DVN único”, en contra de las mejores prácticas recomendadas de “verificadores múltiples”. Ya desactivaron los nodos RPC afectados, los reemplazaron por otros nuevos, y pidieron a todos los proyectos que usen “verificadores múltiples” lo antes posible, además de colaborar con las autoridades para rastrear los fondos del hacker.
Aave: congeló de emergencia el mercado de colateral rsETH para evitar mayores pérdidas. El 21 de abril, actualizaron que los fondos en WETH en el mercado Ethereum Core V3 ya estaban descongelados, y los usuarios podían volver a suministrar WETH, aunque el valor de préstamo (LTV) seguía en 0, es decir, no se podía usar WETH como colateral para pedir préstamos. Los fondos en WETH en otras cadenas como Prime y Arbitrum permanecen congelados, y se avanzará en su recuperación.
Impacto en la industria: el evento generó una profunda reflexión sobre la seguridad de los puentes cross-chain y los riesgos de tokens de re-staking (LRT). Varias plataformas de préstamos comenzaron a endurecer los requisitos de colaterales, eliminando tokens LRT con bajo uso para evitar riesgos similares. Además, varias agencias de seguridad criptográfica publicaron guías para mejorar la seguridad de los puentes, recomendando revisar “verificación única” y “seguridad de nodos”. Algunos proyectos líderes ya iniciaron actualizaciones de seguridad, añadiendo verificadores múltiples y mejorando la protección de los nodos RPC para prevenir ataques DDoS y manipulaciones.
Seguimiento de fondos del hacker: hasta el 23 de abril, los datos en la cadena muestran que aproximadamente el 30% de los 116,500 rsETH robados fue convertido en WETH y USDC, y parte de los fondos se dividieron en exchanges descentralizados, mientras que otro 20% fue transferido a monederos privados, dificultando el rastreo. Sin embargo, las autoridades ya identificaron algunas direcciones relacionadas con los hackers, y algunos fondos están en exchanges regulados, en proceso de congelación y análisis conjunto.
Compensaciones a usuarios: en un anuncio del 22 de abril, KelpDAO dijo que priorizará la protección de los usuarios comunes, revisando la lista de poseedores de rsETH y las pérdidas, y planea compensar parcialmente mediante “subsidios del tesoro comunitario + seguros de terceros”, aunque aún no se han definido los porcentajes ni los plazos, y se anunciará tras la auditoría. Aave afirmó que las pérdidas no serán asumidas por los depositantes normales, sino que se cubrirán con fondos de reserva y responsabilidades de los responsables.
Cuatro, las preguntas más frecuentes, explicadas claramente
Tras el incidente, muchos inversores y usuarios tienen dudas. Aquí respondemos las 5 preguntas más comunes en un lenguaje sencillo:
1. ¿Por qué los hackers lograron tener éxito? ¿Cuál fue la causa principal?
La causa principal fue la “mala configuración de seguridad” de KelpDAO: confiaron toda la seguridad del puente cross-chain a un “inspector” único (verificador DVN). LayerZero ya había advertido que esta configuración era muy arriesgada, pero KelpDAO no prestó atención. Los hackers aprovecharon esta vulnerabilidad, manipulando nodos y falsificando mensajes de verificación, logrando crear tokens sin respaldo, en realidad un fallo de “confianza en punto único”, no un error en el código en sí.
2. ¿Se puede recuperar el dinero robado, los 290 millones de dólares?
Es muy difícil, pero no imposible. Actualmente, LayerZero y las agencias colaboran con las autoridades para rastrear los fondos. Aunque los hackers usaron herramientas de privacidad para ocultar sus movimientos, las transacciones en la cadena dejan huellas. Sin embargo, dado su nivel profesional (posiblemente un grupo APT), y que algunos fondos ya se transfirieron a otros lugares, no hay garantía de cuánto se podrá recuperar.
3. ¿Afectará esto a los fondos de los usuarios comunes?
Depende: ① Si solo tienes depósitos en plataformas como Aave sin poner en colateral rsETH, tus fondos están seguros, ya que Aave ya tomó medidas de congelación y se recuperarán progresivamente; ② Si tienes rsETH o usaste rsETH como colateral, podrías sufrir pérdidas, dependiendo de cómo KelpDAO gestione las pérdidas futuras.
4. ¿En qué se diferencia este ataque de otros ataques a puentes cross-chain anteriores?
La mayor diferencia es la “reacción en cadena muy fuerte”. Los ataques anteriores generalmente afectaban solo a un proyecto, pero en esta ocasión, dado que rsETH fue aceptado como colateral en múltiples plataformas de préstamos, la operación del hacker provocó una corrida de liquidez en toda la industria, afectando la confianza general. Además, esta vez fue una combinación de “mala configuración + intrusión en infraestructura”, no solo un robo de claves privadas o un fallo en el código.
5. ¿Qué cambios traerá esto al sector DeFi en el futuro?
El cambio más directo será la “mejora en la seguridad”: los puentes cross-chain probablemente exigirán “verificadores múltiples” para evitar fallos por punto único; las plataformas de préstamos reforzarán la revisión de colaterales, y se promoverán mecanismos automáticos de pausa en caso de anomalías, para gestionar mejor los riesgos y evitar pérdidas mayores.
Cinco, conclusión: una advertencia para toda la industria
Este ataque de 290 millones de dólares fue en realidad una tragedia causada por “confianza excesiva” y “falta de seguridad”: KelpDAO ignoró las advertencias de LayerZero, usó una configuración de alto riesgo con un solo verificador, y eso facilitó el trabajo a los hackers. La reacción en cadena también reveló los riesgos de la estructura “tipo LEGO” de DeFi: si un eslabón falla, puede afectar a toda la cadena.
Para los usuarios, es un recordatorio importante: invertir en criptomonedas implica riesgos, y al elegir proyectos, no solo hay que fijarse en las ganancias, sino también en la seguridad y gestión de riesgos, para evitar que errores de los desarrolladores causen pérdidas.
El proceso de resolución continúa, y aún se discuten cómo repartir las pérdidas, cómo mejorar la seguridad de los puentes cross-chain y cómo implementar compensaciones. Además, el incidente ha acelerado la atención regulatoria: algunos países ya planean establecer regulaciones para la seguridad de los puentes, y para la emisión y circulación de tokens de re-staking, con el fin de prevenir riesgos sistémicos. Seguiremos atentos a las novedades y las compartiremos con todos.