Wu Blockchain informa que Kelp DAO ha sufrido una masiva explotación de cadena cruzada que drenó aproximadamente 116,500 rsETH, valorados en casi 292 millones de dólares. El incidente genera nuevas preocupaciones sobre la seguridad del protocolo, ocurriendo menos de un año después de una interrupción previa relacionada con un error de contrato inteligente
La Respuesta de Kelp DAO Previene Intentos Adicionales de Explotación
De acuerdo con datos de la cadena de bloques, el ataque a Kelp DAO explotó una debilidad en la comunicación de cadena cruzada, específicamente apuntando al mecanismo de puente utilizado para transferir activos entre redes. La explotación se ejecutó mediante una llamada a la función "Iz Receive" en el EndpointV2 de LayerZero, lo que finalmente desencadenó la liberación de fondos a una billetera controlada por el atacante.
El investigador de cadena de bloques ZachXBT fue uno de los primeros en descubrir la brecha, estimando pérdidas que superan los 280 millones de dólares a través de Ethereum y Arbitrum. El investigador también notó que las direcciones del ataque habían sido financiadas inicialmente a través de Tornado Cash, lo que indica un esfuerzo deliberado para ocultar las fuentes de financiamiento del ataque altamente coordinado.
Hoy más temprano identificamos actividad sospechosa de cadena cruzada involucrando rsETH. Hemos pausado los contratos de rsETH en la red principal y varias L2 mientras investigamos.
Estamos trabajando con @LayerZero_Core, @unichain, nuestros auditores y los principales expertos en seguridad en RCA.
Les mantendremos...
— Kelp (@KelpDAO) 18 de abril de 2026
En respuesta a este ataque, Kelp DAO implementó una detención inmediata de todos los contratos de rsETH en su red principal y las redes L2 conectadas. El protocolo también congeló la actividad en sus contratos y sistemas centrales que cubren depósitos, retiros y funciones de oráculo. Según Kelp DAO, una investigación en curso se está llevando a cabo con LayerZero y Unichain.
Cabe destacar que el atacante intentó dos transacciones adicionales para drenar otros 40,000 rsETH, valorados en casi 100 millones de dólares. Sin embargo, las medidas rápidas de Kelp DAO aseguraron que ambos intentos fallaran, evitando que las pérdidas aumentaran a 391 millones de dólares.
Aave Congela los Contratos de rsETH
En otras noticias, las repercusiones se han extendido rápidamente más allá de Kelp DAO, con protocolos de préstamo sintiendo presión inmediata. Aave, una de las plataformas de préstamo DeFi más grandes, respondió congelando los mercados de rsETH en sus implementaciones V3 y V4.
Sin embargo, Aave ha aclarado que sus propios contratos inteligentes no fueron explotados, y la medida es puramente precautoria para limitar una mayor exposición de deuda a rsETH mientras evalúan la situación. La gestión de Aave también se compromete a evaluar posibles estrategias de mitigación si surge alguna deuda incobrable de las explotaciones.
Los mercados de rsETH en Aave V3 y Aave V4 han sido congelados. Los contratos de Aave no han sido explotados y esto es una explotación relacionada con rsETH.
La congelación sigue a una explotación del puente rsETH de Kelp DAO. Congelar los mercados de rsETH previene nuevos depósitos y préstamos contra rsETH...
— Aave (@aave) 18 de abril de 2026
El rsETH en sí es un token de re-staking líquido diseñado para representar ETH apostado mientras permite a los usuarios ganar rendimiento adicional a través de estrategias de re-staking. Desempeña un papel clave en el DeFi de cadena cruzada, permitiendo que el capital se mueva sin problemas a través de múltiples redes, incluyendo Arbitrum, Base y Scroll. La escala de la explotación es particularmente dañina ya que los fondos robados representan aproximadamente el 18% del suministro circulante total de rsETH, lo que representa un golpe significativo tanto a la liquidez como a la confianza del usuario.
