Hackeo del puente de Kelp DAO: un ataque "cross-chain" provoca pérdidas de 292 millones de dólares

CoinDesk informa de una vulnerabilidad en Kelp DAO: un puente "cross-chain" que custodiaba cerca de una quinta parte del suministro en circulación de ETH re-stakeado fue vaciado, y el impacto se está propagando por el ecosistema DeFi. El ataque se produjo el pasado fin de semana a las 17:35 UTC. El atacante drenó el puente de Kelp DAO, integrado con LayerZero, y se hizo con tokens por un valor aproximado de 292 millones de dólares a precios actuales. La cifra equivale a alrededor del 18% del suministro circulante de rsETH que sigue CoinGecko, estimado en 630.000 tokens. LayerZero es una capa de mensajería entre cadenas que permite enviar instrucciones verificadas entre distintas blockchains. Kelp DAO, por su parte, es un protocolo de "liquid restaking": recibe ETH depositado por los usuarios, lo canaliza a través de EigenLayer para generar rendimiento adicional más allá de las recompensas estándar del staking en Ethereum y emite rsETH como token negociable. El puente comprometido mantenía reservas de rsETH que respaldaban versiones envueltas ("wrapped") de rsETH desplegadas en más de 20 redes. Según el reporte, el atacante engañó a la capa de mensajería de LayerZero para que aceptara una instrucción supuestamente válida procedente de otra red, lo que activó la liberación de 116.500 rsETH hacia direcciones bajo su control. El mecanismo de pausa de emergencia mediante multisig de Kelp congeló los contratos principales 46 minutos después del robo, a las 18:21 UTC. Dos intentos posteriores, a las 18:26 y 18:28 UTC, no tuvieron éxito; ambos reutilizaban el mismo paquete de datos de LayerZero e intentaban sustraer otros 40.000 rsETH, valorados en torno a 100 millones de dólares. Shorya Malwa