DeFi United presenta un plan para recuperar 292 millones de dólares tras el hackeo de Kelp DAO

DeFi United, una coalición de actores del ecosistema DeFi, ha publicado una propuesta técnica para restablecer el respaldo íntegro de rsETH de Kelp DAO y revertir el fraude estimado en 292 millones de dólares, según CoinDesk. El ataque, ocurrido el 18 de abril, se atribuye de forma generalizada al grupo Lazarus de Corea del Norte. Los atacantes habrían utilizado un mensaje falsificado para comprometer el puente de rsETH de Kelp DAO y acuñar 116.500 rsETH sin respaldo. Aproximadamente 107.000 de esos tokens acabaron en la plataforma de préstamos de Aave, generando una deuda incobrable relevante para el protocolo. Con Aave a la cabeza, decenas de protocolos DeFi han aportado fondos a la iniciativa DeFi United para amortiguar el impacto en el conjunto del sector. La alianza asegura haber reunido más de 300 millones de dólares en Ethereum y, tras alcanzar compromisos suficientes en ETH, afirma estar en condiciones de iniciar el proceso de recuperación. El plan contempla convertir por lotes el ETH comprometido a rsETH y transferir después ese rsETH a los contratos de bloqueo afectados, con el objetivo de permitir que el puente vuelva a operar con seguridad y con respaldo completo. La propuesta también exige la aprobación de las autoridades reguladoras pertinentes, un calendario de ejecución y la firma de un acuerdo final. En paralelo al restablecimiento de rsETH, la hoja de ruta prevé liquidar ocho posiciones afectadas en los mercados Aave Ethereum Core y Arbitrum, paso necesario para recuperar en torno a 13.000 ETH en Aave. Para ello se plantea una secuencia de liquidación controlada en la que el precio del oráculo de rsETH se ajustaría temporalmente para facilitar la liquidación eficiente de esas ocho posiciones. La garantía liquidada en rsETH se trasladaría a una cuenta multifirma controlada por DeFi United, se canjearía por ETH a través de KelpDAO y se emplearía para compensar las pérdidas temporales registradas en el mercado de Aave. Compound, también afectado por la explotación de esta vulnerabilidad, prevé adoptar medidas similares para eliminar el rastro del atacante. Esta actuación permitiría recuperar fondos por un valor aproximado de 16.776 ETH. La fase final incluiría reactivar y desbloquear rsETH y ETH en todas las instancias afectadas, además de restablecer los ratios de loantovalue (LTV) de ETH y de cualquier otro activo cuya configuración se hubiera ajustado de forma temporal. DeFi United subraya que el objetivo es recuperar rsETH sin trasladar pérdidas a la comunidad, aunque reconoce riesgos. La ejecución depende de cerrar un acuerdo definitivo y obtener autorización gubernamental; durante ese periodo, los atacantes podrían intentar interferir. La alianza advierte de que una interferencia deliberada podría provocar una acumulación incompleta de pérdidas y obligar a realizar liquidaciones adicionales para cerrar por completo las posiciones. También señala que las nuevas medidas de seguridad implantadas por LayerZero y Kelp DAO tras el incidente siguen en fase de "producción", sin validación en condiciones reales, por lo que podrían persistir riesgos. Por este motivo, las conversiones de ETH a rsETH y los depósitos en el lockbox se realizarán por lotes. DeFi United afirma que, ejecutadas estas etapas de forma coordinada, se restablecerá plenamente el respaldo de rsETH y se estabilizarán los mercados afectados, y que irá publicando actualizaciones conforme avance la recuperación.