Un Hackeo, Nueve Protocolos, $292 Millones Perdidos: La Explotación de Kelp Expone el Problema de Contagio en DeFi

Un Hackeo, Nueve Protocolos, $292 Millones Perdidos: La Explotación de Kelp Expone el Problema de Contagio en DeFi

Un mensaje falso de LayerZero drenó $293 millones de Kelp DAO, desencadenando un contagio en nueve protocolos DeFi, desplomando el TVL de Aave en $6.6 mil millones y exponiendo la infraestructura cross-chain como el eslabón más débil de la criptomoneda.

El sábado por la tarde, un atacante envió un comando falso al puente de Kelp DAO impulsado por LayerZero. El puente lo aceptó como verdadero. En cuestión de minutos, 116,500 rsETH (alrededor del 18% del suministro total en circulación del token) fueron transferidos a la billetera del atacante. Cuando Kelp puso sus contratos inteligentes en pausa, los tokens robados ya estaban en Aave, Compound y Euler como garantía para pedir prestados cientos de millones de dólares más en ether envuelto. El resultado: Kelp perdió aproximadamente $293 millones; Aave vio desaparecer $6.6 mil millones en valor bloqueado; y al menos nueve protocolos diferentes intentaban congelar sus mercados de intercambio que no habían construido.


Esto no fue solo un problema de Kelp; esto se relaciona con la dependencia de muchos protocolos en puentes que están comprometidos, ¡ese es el problema que vale la pena considerar!

Cómo un único hackeo de puente se convirtió en una crisis multiprotocolo


Kelp actúa como un protocolo para re-staking líquido. Los stakers de ether (stETH) en Kelp reciben un token llamado rsETH que genera recompensas, que luego pueden ser utilizadas en numerosos protocolos DeFi. Sin embargo, había más de 20 redes activas en las que los tokens rsETH circulaban como garantía o recibos de apuesta para staking a través de Kelp, y todos estaban vinculados a las mismas reservas de Kelp en el puente. Así que cuando el puente fue vaciado y los tokens rsETH que circulaban como garantía se volvieron sospechosos (independientemente de su origen), los protocolos que aceptaban estos tokens como garantía no tenían medios para verificar la autenticidad del colateral que respaldaba sus préstamos — Aave, SparkLend, Fluid, Euler, Compound y otros.


Cyvers Blockchain Security calificó este problema como un "evento de contagio entre protocolos" como resultado de la explotación del protocolo. Aunque Aave, Compound y Euler no experimentaron fallos fiduciarios con sus contratos, Aave había integrado rsETH en su pool de préstamos y no lo segregó del resto de sus préstamos, escalando así el riesgo que rsETH representaba para su pool de préstamos. Posteriormente, el valor del token de Aave cayó un 16%. El valor total bloqueado en Aave (TVL) bajó de $26.4 mil millones a aproximadamente $20 mil millones en varias horas. Aave ahora tiene aproximadamente $196 millones en deuda incobrable concentrada en los pares rsETH y ether envuelto, y Aave puede tener reservas insuficientes en su Fondo de Seguridad Umbrella.

La compensación de eficiencia de capital que nadie quería hacer

Michael Egorov, fundador de Curve Finance, dejó claro que los problemas en estas estructuras se magnifican a través de modelos de préstamo no aislados, donde un pool compartido entre todos los activos añade riesgo adicional para todos los demás activos debido a un único pool de riesgo. Si rsETH estuviera aislado en su propio pool de préstamos, entonces cuando ocurre una explotación como esta, el contagio se limita a Kelp, en lugar de afectar a otros protocolos, otros usuarios u otros tokens.


La razón por la que muchos protocolos no aíslan completamente sus pools es porque reduce la eficiencia del capital. A medida que la liquidez de muchos protocolos diferentes se añade a un solo pool, permite que la liquidez fluya más libremente sin restricciones, lo que hace que sea más barato pedir prestado y proporciona un mayor rendimiento sobre las ganancias generadas a través de los préstamos. Al aislar los pools de préstamos, el riesgo contenido dentro de cada pool se reduce, pero requiere el sacrificio de algún tipo de eficiencia de capital que permite generar esa liquidez.


Además, Egorov señaló un problema adicional con la configuración del puente de Kelp, que se configuró utilizando una única instancia de un verificador, lo que significa que solo había un punto de verificación utilizado para validar los mensajes entre cadenas enviados hacia y desde estos dos protocolos. Este error de configuración debería haberse notado cuando el puente se puso en línea originalmente, pero no fue así. Por lo tanto, un solo mensaje falsificado pudo liberar todo el puente.

La infraestructura entre cadenas es el eslabón débil

La causa del ataque no fue un error en un contrato inteligente como vemos típicamente cuando ocurren ataques. El hacker utilizó un puente para atacar a Kelp. Egorov afirma específicamente: "La tecnología entre cadenas es difícil e insegura. Úsala solo cuando sea necesario y hazlo con extrema precaución. Mucha gente ha escuchado esto antes y ha hecho caso omiso porque la tecnología entre cadenas es cómo la industria puede crear un sistema financiero descentralizado a través de múltiples blockchains. Si hay diez redes diferentes con tu protocolo, entonces necesitas una forma de conectar todas esas redes y estos son casi exclusivamente los sitios donde han ocurrido los mayores hacks, porque son las fronteras que separan cada uno de los sistemas, por lo tanto, los atacantes suelen buscar hackear primero en los límites."


La explotación de Kelp se ha convertido rápidamente en el mayor hackeo de DeFi de 2026 y 2026 apenas ha comenzado al momento de escribir este artículo (cuatro meses del año). La cantidad total de cripto perdida por hackeos, exploits y estafas solo en el primer trimestre de 2026 fue de aproximadamente $482 millones. El Oficial de Seguridad de Ledger afirmó que 2026 "probablemente será el peor año para los hackeos hasta la fecha, lo cual es una recomendación de una tendencia futura a partir de sus tendencias actuales."

Qué sucede con la confianza

"DeFi está muerto" fue uno de los comentarios más frecuentes de los usuarios de DeFi en redes sociales tras el reciente incidente — algo que no es sorprendente dado el tamaño de la explotación; sin embargo, puede que no sea una evaluación precisa de lo que está sucediendo en el ecosistema DeFi en esta etapa. No obstante, hay algo diferente en la magnitud de este evento, ya que afectó simultáneamente la infraestructura entre cadenas, los modelos de restaking y los mercados de préstamos, y por lo tanto no puede clasificarse como la debilidad/ataque dirigido de un solo protocolo; en cambio, sirve como una prueba de estrés para demostrar cuán estrechamente acoplado está todo el ecosistema DeFi con respecto a sus protocolos subyacentes trabajando juntos.


Como lo expresó Guillemet, Jefe de Seguridad de Ledger, 'En general, este tipo de evento erosiona la confianza entre la comunidad DeFi con respecto a la integridad operativa del protocolo DeFi."


Por otro lado, Egorov ofrece un punto de vista alternativo — que si bien es un entorno difícil, las criptomonedas siempre han aprendido de fallos anteriores en DeFi y se han vuelto más fuertes — aunque, en principio, tiene razón. Sin embargo; aprender de este tipo de incidentes suele costar al usuario final pérdidas financieras inesperadas. Nueve protocolos, $293 millones en valor monetario perdido y un mensaje de puente falsificado PYMNTS.com no hay discusión, hemos aprendido esta lección, pero ¿cuántas veces más necesitaremos aprenderla?


Todas las opiniones expresadas son opiniones personales del autor y no constituyen asesoramiento de inversión.

Últimos artículos

Índice de miedo y codicia

Trade
31
Miedo
¿Cuál cree usted que es el sentimiento actual del mercado?
+78.57%+21.42%
SpotFuturos
Sin datos