Un hack en DeFi sustrae 292 millones de dólares a través del puente rsETH de Kelp DAO y salpica a Aave

La seguridad en DeFi volvió a quedar en entredicho el 19 de abril (hora de Pekín). Datos on-chain apuntan a que, alrededor de la 1:35, un atacante habría explotado el contrato del puente de rsETH de Kelp DAO —el segundo mayor protocolo de liquid staking— construido sobre LayerZero, con una pérdida de 116.500 rsETH valorados en unos 292 millones de dólares. El seguimiento de las transacciones muestra que la dirección atacante recibió una financiación inicial de 1 ETH desde el mezclador Tornado Cash unas 10 horas antes del incidente. Después, esa dirección llamó a la función lzReceive del contrato LayerZero EndpointV2, lo que desencadenó la transferencia de 116.500 rsETH desde el puente de Kelp a otra dirección controlada por el atacante. Unas dos horas y media después, Kelp DAO confirmó en X el ataque: "A primera hora de hoy detectamos actividad cross-chain sospechosa relacionada con rsETH. Durante la investigación, hemos pausado los contratos de rsETH en mainnet y en múltiples Layer2. Nuestros auditores trabajan estrechamente con expertos en seguridad de LayerZero y Unichain para monitorizar la situación. Seguiremos informando: seguid nuestros canales oficiales". Tras el suceso, varios equipos de DeFi y firmas de seguridad analizaron el vector del ataque. En la comunidad se citó con frecuencia el análisis de D2 Finance: LayerZero Scan marcó el endpoint remoto como Kelp DAO, lo que indicaría que el mensaje se originó desde un contrato remoto legítimamente desplegado por el propio proyecto, con 308 nonces de mensajes registrados en esa ruta. Según esa lectura, el origen del ataque habría sido el compromiso de la clave privada de la cadena de origen. El desarrollador de TinyHumans AI, Steven Enamakel, añadió que el contrato estaría protegido por un conjunto validador 1/1 (DVN), de modo que una sola transacción errónea del validador bastaría para provocar el problema. Aave, utilizado como vía de salida; posible deuda incobrable Dada la limitada liquidez de negociación de rsETH, el atacante optó por una salida basada en préstamos: aportar rsETH como colateral y tomar prestado wETH, con mayor liquidez. Según la monitorización de PeckShield Alert, a las 4:30 de hoy el atacante ya había depositado el rsETH sustraído en protocolos de lending como Aave V3, Compound V3 y Euler, y había pedido prestada una gran cantidad de WETH. La deuda total superaría los 236 millones de dólares, con 196 millones atribuidos a Aave, 39,4 millones a Compound y 840.000 dólares a Euler. Aave congeló de inmediato el mercado de rsETH en Aave V3 y V4. Más tarde, el equipo publicó en X: "Los contratos de Aave no han sido comprometidos; el ataque está relacionado con rsETH. La congelación de rsETH se realizó para evitar nuevos depósitos de rsETH y préstamos con colateral mientras se evalúa la situación. Estamos revisando los préstamos de rsETH en Aave posteriores al ataque y compartiremos más detalles lo antes posible". Poco después, Aave actualizó el mensaje y añadió: "Si este incidente deriva en deuda incobrable para el protocolo, exploraremos formas de cubrir el déficit". En el momento de redactar esta nota, la magnitud exacta de la posible deuda incobrable sigue sin confirmarse. monetsupply.eth, responsable estratégico de Spark (competidor directo de Aave), señaló que si rsETH llegara a cotizar con un descuento del 19% (equivalente a lo robado como porcentaje del suministro total de rsETH), Aave podría enfrentar más de 100 millones de dólares en deuda incobrable debido a préstamos circulares altamente apalancados. Marc Zeller, fundador de Aave Chan Initiative (ACI) —equipo representativo de gobernanza del ecosistema Aave y que ha anunciado su salida en julio por discrepancias de gobernanza— planteó otra visión. Tras el ataque recomendó a los usuarios retirar WETH de Aave V3 cuanto antes para evitar pérdidas y confirmó que los mercados de USDC y USDT en Aave no se vieron afectados. Ante la especulación de que las deudas incobrables podrían alcanzar cientos de millones, afirmó: "Significativamente menos que esa cifra". Zeller también apuntó que llega el momento de poner a prueba Umbrella en un entorno real. Umbrella, el módulo de seguridad automatizado de Aave, funciona como un fondo de reserva para cubrir deuda incobrable: los usuarios pueden depositar activos para obtener mayores incentivos, asumiendo a cambio posibles pérdidas si el protocolo registra impagos. Datos del protocolo indican que actualmente habría unos 50 millones de dólares en WETH disponibles en Umbrella para afrontar potenciales pérdidas asociadas a este evento, aunque no está claro si será suficiente. El token AAVE llegó a caer cerca de un 10% en el corto plazo y, al cierre de esta publicación, cotizaba en torno a 104,6 USDT. Abril suma otro gran incidente de seguridad No es el primer golpe de gran tamaño este mes. El 1 de abril, el protocolo de derivados del ecosistema Solana Drift Protocol sufrió un ataque con pérdidas de hasta 280 millones de dólares. Tras el incidente, Drift atribuyó el robo a "hackers norcoreanos"; entidades como Tether prometieron 147,5 millones de dólares para compensar a los usuarios. Poco más de diez días después, se produce un nuevo ataque, aún mayor. Por ahora, siguen abiertas preguntas incómodas sobre la seguridad en DeFi. En este contexto, se recomienda no mantener grandes cantidades de fondos on-chain; si existe una necesidad real, conviene diversificar y aislar posiciones. A la hora de publicación, muchos detalles del caso continúan sin esclarecerse. Odaily seguirá de cerca la evolución.