El protocolo de restaking líquido Kelp DAO enfrenta uno de los incidentes de seguridad más relevantes del año en el ecosistema DeFi, luego de que un atacante drenara aproximadamente 116.500 rsETH, valorados en cerca de $292 millones, a través de su puente cross-chain basado en LayerZero. El evento, confirmado por datos on-chain, ha desencadenado una rápida respuesta del protocolo y de actores clave del sector, mientras se evalúan las implicaciones sistémicas.
TE PUEDE INTERESAR: TENGA CUIDADO: Billeteras Ledger falsas están siendo fabricadas en China
Ataque a Kelp DAO: cómo se ejecutó el exploit en el puente LayerZero
El incidente ocurrió el sábado a las 17:35 UTC, cuando una dirección controlada por el atacante ejecutó una llamada a la función lzReceive en el contrato EndpointV2 de LayerZero. Esta acción activó el contrato del bridge de Kelp DAO, liberando automáticamente los 116.500 rsETH hacia una dirección bajo control del atacante, según los registros de eventos de la transacción.
Un elemento crítico del ataque es que la billetera utilizada había sido financiada aproximadamente 10 horas antes mediante Tornado Cash, específicamente a través de su pool de 1 ETH, una práctica común para ocultar el origen de los fondos en exploits DeFi.
El analista on-chain ZachXBT fue uno de los primeros en alertar públicamente sobre el incidente, señalando que las direcciones implicadas estaban vinculadas a servicios de mezcla, lo que refuerza la hipótesis de un ataque premeditado con técnicas de ofuscación.
Respuesta de Kelp DAO: pausa de emergencia y contención del ataque
La reacción de Kelp DAO se produjo aproximadamente 46 minutos después del drenaje inicial. A las 18:21 UTC, el multisig encargado del “emergency pauser” ejecutó la función pauseAll, deteniendo las operaciones críticas del protocolo.
Esta acción generó eventos de pausa en múltiples componentes clave, incluyendo:
- LRT Deposit Pool
- Contrato de retiros
- Oráculo de LRT
- Token rsETH
Posteriormente, el protocolo confirmó públicamente la situación, indicando que había detectado actividad sospechosa cross-chain y que se encontraba trabajando en conjunto con LayerZero, Unichain, auditores y expertos en seguridad para realizar un análisis de causa raíz (RCA).
La efectividad de la medida quedó evidenciada minutos después: dos intentos adicionales de ataque a las 18:26 y 18:28 UTC fueron revertidos automáticamente. Ambos intentaban drenar otros 40.000 rsETH (alrededor de $100 millones), lo que habría elevado las pérdidas totales a cerca de $391 millones.
El puente OFT de LayerZero, en el centro del exploit a Kelp DAO
El foco técnico del ataque parece estar en el puente OFT (Omnichain Fungible Token) de LayerZero, una infraestructura diseñada para permitir la interoperabilidad de tokens entre múltiples redes.
Este componente es clave en la arquitectura de Kelp DAO, ya que facilita la movilidad de rsETH entre distintas blockchains. Actualmente, este token está desplegado en más de 20 redes, incluyendo:
- Arbitrum
- Base
- Linea
- Blast
- Mantle
- Scroll
La naturaleza omnichain del sistema, si bien aporta flexibilidad y liquidez, también amplía la superficie de ataque, especialmente cuando existen vectores explotables en la lógica de mensajería cross-chain.
El volumen drenado —116.500 rsETH— representa aproximadamente el 18% del suministro circulante, estimado en cerca de 630.000 tokens, lo que convierte este incidente en un evento de alto impacto para la estabilidad del activo.
TE PUEDE INTERESAR: Hyperbridge eleva pérdidas a $2,5 millones tras exploit en Polkadot: impacto real fue 10 veces mayor al estimado inicial
Impacto en el ecosistema: Aave congela mercados de rsETH
El ataque a Kelp DAO tuvo efectos inmediatos en otros protocolos DeFi. La plataforma de préstamos Aave decidió congelar los mercados de rsETH en sus versiones V3 y V4, como medida preventiva ante posibles riesgos de deuda incobrable (bad debt).
Aave aclaró que el exploit no está relacionado con sus contratos inteligentes, sino exclusivamente con el activo rsETH. Sin embargo, reconoció que está evaluando las posiciones abiertas tras el ataque y sus posibles consecuencias.
Inicialmente, el protocolo mencionó que su módulo de seguridad automatizado, conocido como Umbrella, podría utilizarse para cubrir déficits. Posteriormente, actualizó su postura indicando que explorará distintas vías para compensar cualquier deuda generada.
Tras conocerse la noticia, el token del protocolo registró una caída cercana al 10%, reflejando la sensibilidad del mercado ante eventos de riesgo sistémico en DeFi.
Un patrón preocupante: segundo incidente de Kelp DAO en menos de 12 meses
Este exploit marca el segundo incidente de seguridad relevante para Kelp DAO en el último año, lo que plantea interrogantes sobre la robustez de su arquitectura.
En abril de 2025, el protocolo se vio obligado a pausar depósitos y retiros tras detectar un bug en su contrato de comisiones, que provocaba una emisión excesiva de rsETH. Aunque en ese caso no se reportaron pérdidas de fondos, el evento ya había encendido alertas en la comunidad.
La recurrencia de incidentes, especialmente en protocolos que manejan activos líquidos de restaking, pone de relieve la complejidad técnica y los riesgos inherentes a estas estructuras.
Análisis: riesgos estructurales del modelo omnichain en DeFi
El caso de Kelp DAO reabre el debate sobre los riesgos asociados a la interoperabilidad en DeFi. Los puentes cross-chain, y en particular las soluciones omnichain como LayerZero, han sido históricamente uno de los puntos más vulnerables del ecosistema.
Entre los principales factores de riesgo destacan:
- Complejidad en la verificación de mensajes entre cadenas
- Dependencia de contratos interconectados
- Mayor superficie de ataque al operar en múltiples redes
- Posibles fallos en la validación de paquetes de datos
El uso de tokens como rsETH, que dependen de infraestructuras distribuidas y mecanismos de restaking, añade una capa adicional de sofisticación —y, por ende, de vulnerabilidad—.
Estado actual de Kelp DAO y próximos pasos
Al momento de publicación, Kelp DAO continúa investigando el incidente junto a sus socios tecnológicos y auditores. No se ha confirmado aún un vector definitivo de ataque, aunque los indicios apuntan a una explotación en la lógica del puente OFT.
El token rsETH se cotizaba en torno a los $2.500, mientras el mercado evalúa el alcance real del daño y la posible recuperación del protocolo.
Dado que se trata de una historia en desarrollo, se espera que en las próximas horas o días se publiquen:
- Informes técnicos detallados (post-mortem)
- Posibles planes de compensación
- Actualizaciones sobre el estado de los fondos
- Medidas adicionales de seguridad
TE PUEDE INTERESAR: CoW Swap sufre secuestro de dominio: usuarios deben detener operaciones
Implicaciones para el mercado: confianza, liquidez y regulación
Más allá de las pérdidas directas, el exploit en Kelp DAO podría tener implicaciones más amplias:
- Confianza del usuario: Eventos de esta magnitud erosionan la percepción de seguridad en protocolos emergentes.
- Liquidez en DeFi: La congelación de mercados como los de Aave puede afectar la disponibilidad de capital.
- Presión regulatoria: Incidentes recurrentes podrían acelerar el escrutinio sobre infraestructuras cross-chain.
En un entorno donde el restaking y los activos derivados están ganando tracción, la seguridad se consolida como el factor crítico que determinará la sostenibilidad del sector.
La explotación del puente de Kelp DAO no solo representa una pérdida multimillonaria, sino también un recordatorio contundente de los desafíos técnicos que enfrenta DeFi en su evolución hacia sistemas verdaderamente interoperables. Mientras el ecosistema espera respuestas, el caso se perfila como un punto de inflexión en la evaluación de riesgos en infraestructuras omnichain.
