Un ataque en DeFi drena 292 millones de dólares a través del puente rsETH de Kelp DAO y salpica a Aave

El 19 de abril (hora de Pekín), el sector DeFi volvió a sufrir un golpe de gran magnitud. Datos onchain apuntan a que, en torno a la 01:35, el contrato del puente rsETH de Kelp DAO —segundo mayor protocolo de liquid staking— construido sobre LayerZero habría sido explotado, con una pérdida de 116.500 rsETH valorada en unos 292 millones de dólares. El seguimiento de la actividad en cadena sugiere que la dirección atacante recibió financiación inicial de 1 ETH desde el mezclador Tornado Cash unas 10 horas antes. Más tarde, esa misma dirección ejecutó la función lzReceive en el contrato LayerZero EndpointV2, lo que activó la transferencia de 116.500 rsETH desde el puente de Kelp hacia otra dirección controlada por el atacante. Unas dos horas y media después, Kelp DAO confirmó en X el incidente: "Hoy, a primera hora, detectamos actividad cross-chain sospechosa relacionada con rsETH. Durante la investigación, hemos pausado los contratos de rsETH en mainnet y en varias Layer 2. Nuestros auditores están trabajando estrechamente con expertos de seguridad de LayerZero y Unichain para monitorizar la situación. Compartiremos actualizaciones a medida que haya novedades—por favor, seguid nuestros canales oficiales." Tras el ataque, distintos proyectos y firmas de seguridad analizaron el posible origen. En la comunidad se citó con frecuencia el análisis de D2 Finance: LayerZero Scan marcó el endpoint de origen como Kelp DAO, indicando que el mensaje partió de un contrato endpoint desplegado legítimamente por Kelp y que ese canal ya había registrado 308 nonces de mensajes. Bajo esa lectura, el vector principal habría sido la filtración o compromiso de la clave privada en la cadena de origen. El desarrollador Steven Enamakel (TinyHumans AI) añadió otra debilidad: el esquema de seguridad del contrato se apoyaría en un set de validadores 1/1 (DVN), lo que implica que una sola transacción errónea del validador bastaría para provocar un incidente. Aave, utilizado como vía de salida; riesgo de deuda incobrable Con la liquidez de negociación de rsETH limitada, el atacante habría optado por usar protocolos de préstamo como salida: aportar rsETH como colateral y tomar prestado wETH, con mejor liquidez. Según la monitorización de PeckShield Alert, a las 04:30 el atacante ya había depositado el rsETH sustraído en plataformas como Aave V3, Compound V3 y Euler, y había pedido prestado grandes cantidades de WETH, con una deuda total superior a 236 millones de dólares. De ese total, Aave concentraría 196 millones, Compound 39,4 millones y Euler unos 840.000. Aave reaccionó congelando el mercado de rsETH en Aave V3 y V4. Posteriormente, el equipo publicó en X: "Los contratos de Aave no se han visto comprometidos; el ataque estaba relacionado con rsETH. La congelación de rsETH se realizó para impedir nuevos depósitos de rsETH y el endeudamiento contra ese colateral mientras se evalúa la situación. Estamos revisando los préstamos de rsETH en Aave posteriores al ataque y compartiremos más detalles lo antes posible." Poco después, Aave actualizó el mensaje con una nota adicional: "Si este incidente deriva en deuda incobrable para el protocolo, exploraremos formas de cubrir el déficit." A la hora de publicación, el importe exacto de la posible deuda incobrable seguía sin confirmarse. monetsupply.eth, responsable estratégico de Spark (competidor directo de Aave), sostuvo que si rsETH llegara a cotizar con un descuento del 19% (equivalente a que se haya robado el 19% del suministro total de rsETH), Aave podría enfrentarse a más de 100 millones de dólares de deuda incobrable por préstamos circulares altamente apalancados. Marc Zeller, fundador de Aave Chan Initiative (ACI), el equipo representativo de gobernanza del ecosistema Aave (que ha anunciado su salida en julio por discrepancias de gobernanza), ofreció otra lectura. Tras el incidente, recomendó a los usuarios retirar WETH de Aave V3 cuanto antes para evitar pérdidas y confirmó que los mercados de USDC y USDT en Aave no se vieron afectados. Ante especulaciones sobre deuda incobrable de cientos de millones, afirmó: "Mucho menos que esa cifra." Zeller también señaló que llega el momento de probar Umbrella en condiciones reales. Umbrella, el módulo automático de seguridad de Aave, funciona como una reserva destinada a cubrir deuda incobrable: los usuarios pueden aportar activos para obtener incentivos superiores, asumiendo a cambio posibles pérdidas si el protocolo sufre un agujero. Datos del protocolo indican que actualmente hay unos 50 millones de dólares en WETH disponibles en Umbrella para cubrir potenciales pérdidas derivadas de este evento, aunque no está claro si será suficiente. El mercado reaccionó con caídas: AAVE llegó a bajar cerca de un 10% en el corto plazo y cotizaba en 104,6 USDT en el momento de redactar esta nota. Abril encadena incidentes de gran escala No es el primer episodio grave del mes. El 1 de abril, el protocolo de trading de derivados del ecosistema Solana, Drift Protocol, sufrió un ataque con pérdidas de hasta 280 millones de dólares. Tras el incidente, Drift Protocol atribuyó el robo a "hackers norcoreanos"; instituciones como Tether se comprometieron a aportar 147,5 millones de dólares para compensar a los usuarios, lo que dejó abierta la puerta a cierta recuperación. Apenas diez días después, se produce otro ataque aún mayor. El desenlace sigue abierto y la pregunta vuelve a escena: ¿queda algún refugio seguro en DeFi? La presión sobre la seguridad en DeFi se intensifica. A los hackeos recurrentes se suma el riesgo de nuevas amenazas asociadas a sistemas de IA como Mythos. Hasta ahora, muchos usuarios optaban por concentrar fondos en protocolos de primer nivel, ampliamente auditados y con reputación. En esta ocasión, incluso Aave —un referente al que muchos minoristas raramente asociarían con riesgos— se ha visto afectado de forma indirecta. A título prudencial, no se recomienda mantener grandes cantidades de fondos onchain en el contexto actual. Si existe una necesidad real, conviene diversificar y aislar posiciones. A cierre de esta edición, numerosos aspectos del caso permanecen sin aclarar. Odaily seguirá de cerca la evolución del incidente.