TL;DR

  • Los atacantes robaron aproximadamente 116.500 rsETH — valorados en unos 292 millones de dólares — del puente cross-chain de Kelp DAO
  • Los tokens se utilizaron como garantía en Aave V3 para pedir prestado WETH, generando grandes pérdidas de deuda no garantizada
  • Kelp DAO congeló los contratos principales, Aave cerró los mercados de rsETH y se instó a los usuarios a retirar WETH de inmediato
  • El ataque afectó la infraestructura construida sobre LayerZero y se extendió a 20 blockchains diferentes

El mayor exploit de criptomonedas del año es un hecho

En la noche del sábado 18 de abril de 2026, Kelp DAO fue víctima de lo que ahora se describe como el mayor ataque individual en la industria de las criptomonedas en lo que va de año. Según CoinDesk, poco más de 116.500 rsETH —equivalentes a unos 292 millones de dólares— fueron drenados del puente cross-chain del protocolo impulsado por LayerZero. Esto representa aproximadamente el 18 por ciento del suministro total circulante de rsETH.

El atacante financió las billeteras iniciales a través de Tornado Cash y explotó una vulnerabilidad en la capa de mensajería de LayerZero para engañar al sistema y liberar los fondos sin respaldo real.

292 millones de dólares desaparecieron del puente de Kelp DAO en horas — distribuidos en 20 blockchains

Así funcionó el ataque

rsETH es un Token de Restaking Líquido (LRT): representa ETH que ha sido restakeado a través de EigenLayer en múltiples Servicios Validados Activamente (AVS), y está destinado a mantener una vinculación suave con el precio de ETH. Según los datos de investigación disponibles, el valor de mercado total de rsETH de Kelp DAO había sido de alrededor de 1.580 millones de dólares antes del ataque.

El atacante logró extraer rsETH del puente sin que los fondos subyacentes de ETH lo acompañaran realmente. Los tokens liberados y sin respaldo fueron luego depositados como garantía en Aave V3 —una de las plataformas de préstamos más grandes de DeFi— para pedir prestadas grandes cantidades de Wrapped Ether (WETH).

El resultado fue dramático: dado que la garantía ya no era real, Aave se quedó con préstamos que no pueden liquidarse de la manera habitual, y las reservas de WETH están gravadas con una deuda no garantizada significativa.

$292M
Valor Robado
18%
Porcentaje del Suministro de rsETH

Gestión de crisis en todo DeFi

Kelp DAO reaccionó rápidamente y pausó los contratos principales después de que se descubriera el ataque. Según CoinDesk, esto evitó rondas de ataque adicionales. El equipo del protocolo inició inmediatamente la cooperación con LayerZero y Unichain para investigar el incidente.

Aave congeló sus mercados de rsETH, al igual que SparkLend, Fluid y Upshift. El desarrollador y auditor de Solidity 0xQuit emitió una clara advertencia:

"Si tienes WETH en Aave V3 Core, retíralo ahora." — 0xQuit, Auditor de Solidity

La advertencia fue respaldada por el fundador de Aave, Marc Zeller, quien reiteró el llamado a la retirada inmediata. Según CoinDesk, el ataque afectó la infraestructura en 20 blockchains separadas, lo que subraya la complejidad de los desafíos de seguridad cross-chain.

LayerZero bajo presión — de nuevo

Esta no es la primera vez que la infraestructura de LayerZero está vinculada a incidentes de seguridad graves. En septiembre de 2025, el token $GAIN de Griffin AI fue explotado a través de una falla en el puente cross-chain de LayerZero, donde los atacantes acuñaron cinco mil millones de tokens falsos y ganaron alrededor de tres millones de dólares. La firma de seguridad CertiK señaló entonces una debilidad crítica en la inicialización de pares de LayerZero como la causa raíz.

LayerZero opera con lo que el propio protocolo denomina 'falta de confianza configurable', donde las aplicaciones pueden definir su propio modelo de seguridad a través de redes de verificación descentralizadas (DVN). Este modelo ofrece flexibilidad, pero también implica que la responsabilidad de un ataque recae en gran medida en la propia aplicación, no directamente en LayerZero Labs.

La composabilidad de DeFi como arma de doble filo

El ataque ilustra uno de los riesgos más discutidos en las finanzas descentralizadas: la composabilidad. El hecho de que los protocolos se construyan unos sobre otros proporciona eficiencia y poder de innovación, pero también significa que un fallo en un eslabón puede propagarse rápida e incontrolablemente a los sistemas conectados, sin frenos naturales ni salidas de emergencia.

Los datos de investigación relacionados con este incidente indican que los LRT como rsETH están expuestos a múltiples capas de riesgo simultáneamente: debilidades de contratos inteligentes, estrés de liquidez, riesgo de slashing por parte de los operadores de EigenLayer y vulnerabilidad de gobernanza. La combinación de estos factores, bajo la presión de un único exploit, puede desencadenar reacciones en cadena del tipo que hemos presenciado.

Dado que la investigación está en curso en colaboración entre Kelp DAO, LayerZero y Unichain, en el momento de la publicación no está claro si alguno de los fondos robados puede ser rastreado o recuperado.