Hackeo a Kelp DAO: El ataque de $293 millones que sacudió DeFi

El fin de semana del 18 y 19 de abril de 2026 quedará grabado en los anales de la ciberseguridad financiera como el momento en que la “componibilidad” de las finanzas descentralizadas (DeFi) mostró su rostro más amargo. Lo que comenzó como una anomalía técnica en un puente cross-chain terminó convirtiéndose en el hackeo a Kelp DAO, un evento de “nivel geek” que drenó aproximadamente 293 millones de dólares y puso de rodillas a gigantes como Aave. Este no fue un ataque común de reentrada o de lógica de contrato inteligente; fue una operación quirúrgica contra el tejido conectivo invisible que sostiene la interoperabilidad moderna.

El colapso de la confianza: Anatomía del hackeo a Kelp DAO

Para entender la magnitud del desastre, es necesario diseccionar la arquitectura de Kelp DAO y su token de restaking líquido, rsETH. En el ecosistema de 2026, rsETH se había consolidado como un pilar de liquidez, permitiendo a los usuarios obtener rendimientos adicionales sobre sus activos ya stakeados. Sin embargo, esta eficiencia dependía de un puente basado en el protocolo LayerZero, diseñado para mover valor entre redes como Ethereum, Arbitrum y Unichain con una fricción mínima.

El hackeo a Kelp DAO no explotó una vulnerabilidad en el código de Solidity de Kelp, sino que comprometió la infraestructura subyacente. Los atacantes, vinculados preliminarmente por firmas de seguridad como LayerZero Labs al grupo norcoreano Lazarus Group (específicamente a la unidad TraderTraitor), ejecutaron un ataque coordinado en tres frentes:

• Compromiso de nodos RPC: Los atacantes lograron infiltrarse en los nodos de comunicación (RPC) que alimentaban el sistema de verificación de LayerZero.
• Inyección de binarios maliciosos: Al sustituir los binarios legítimos en estos nodos, los hackers pudieron manipular los datos de las transacciones antes de que fueran procesados por el Verificador Descentralizado (DVN).
• Ataque DDoS táctico: Para evitar que los sistemas de monitoreo detectaran la discrepancia, se lanzó una denegación de servicio distribuida que forzó al sistema a entrar en un estado de “fallback” o contingencia, aceptando configuraciones de seguridad degradadas.

La vulnerabilidad del “1-de-1”: Un error estructural

A pesar de que LayerZero ofrece configuraciones de seguridad robustas de “X-de-Y” veríficadores, la implementación específica de Kelp DAO para la ruta Unichain-Ethereum dependía de una configuración de 1-de-1 DVN. Esto significa que un solo nodo de verificación tenía la autoridad total para validar mensajes cross-chain. Al comprometer este único punto de falla, los atacantes pudieron emitir un mensaje falso (identificado en el análisis on-chain como el nonce 308) que el sistema aceptó como legítimo.

Este mensaje “fantasma” ordenó la acuñación de 116,500 tokens rsETH en la red principal de Ethereum sin que existiera ningún respaldo real en la cadena de origen. En cuestión de minutos, el atacante poseía casi el 18% del suministro circulante de rsETH, creado de la nada pero reconocido como oro digital por los protocolos de préstamo.

El contagio sistémico: De Kelp DAO a la parálisis de Aave

El genio del ataque no radicó solo en la creación de los tokens, sino en cómo fueron liquidados. En lugar de intentar vender 293 millones de dólares en rsETH en exchanges descentralizados (DEX), lo que habría causado un deslizamiento de precio masivo y alertado a los bots de arbitraje, el atacante utilizó el rsETH como colateral tóxico en Aave.

El 20 de abril de 2026, la comunidad de DeFi despertó con una crisis de liquidez sin precedentes. El atacante había depositado los rsETH robados en los mercados V3 y V4 de Aave, utilizándolos como garantía para pedir prestado activos reales y líquidos, principalmente Wrapped Ether (WETH). Se estima que se extrajeron más de 196 millones de dólares en activos limpios, dejando a Aave con una deuda incobrable masiva respaldada por tokens rsETH que, en esencia, no valían nada.

La respuesta fue inmediata pero dolorosa. Aave se vio obligado a congelar todos sus mercados de rsETH y WETH para detener la hemorragia. Esta acción, aunque necesaria para la preservación del protocolo, provocó un pánico bancario digital:

1. Fuga de liquidez: Los usuarios, temiendo que el módulo de seguridad de Aave (Umbrella) no fuera suficiente para cubrir el déficit, retiraron más de 5.4 mil millones de dólares en ETH en menos de 24 horas.
2. Colapso del TVL: El valor total bloqueado (TVL) de Aave se desplomó de 26.4 mil millones a menos de 20 mil millones de dólares.
3. Efecto dominó: Otros protocolos como SparkLend, Fluid y Lido Finance (a través de su producto earnETH) tuvieron que pausar operaciones debido a su exposición directa o indirecta al hackeo a Kelp DAO.

Análisis técnico: El “invisible” fallo de las capas de transporte

La “vieja guardia” de la seguridad blockchain está analizando este incidente no como un fallo de código, sino como un fallo de soberanía de infraestructura. Durante años, la narrativa de DeFi se centró en la inmutabilidad de los contratos inteligentes, ignorando que esos contratos respiran a través de nodos RPC y oráculos que a menudo están más centralizados de lo que se admite.

En el caso del hackeo a Kelp DAO, el sistema de mensajería cross-chain funcionó exactamente como fue configurado. El problema fue que la configuración permitía un nivel de confianza absoluto en un solo actor de infraestructura. Cuando los atacantes tomaron control del flujo de datos entre el EndpointV2 de LayerZero y el contrato receptor, el protocolo no tenía forma de saber que el “nonce 308” era una falsificación. La atomicidad, el principio de que una transacción debe completarse totalmente o no ocurrir en absoluto, se rompió en el espacio entre cadenas.

Detalles clave del ataque técnico:

• Timestamp del ataque: 17:35 UTC, 18 de abril de 2026.
• Vector de entrada: Envenenamiento de infraestructura RPC y suplantación de identidad de validador.
• Mecanismo de extracción: Arbitraje de préstamos garantizados (Lending collateral abuse).
• Tiempo de reacción: El multisig de Kelp DAO tardó 46 minutos en pausar los contratos, tiempo suficiente para que el atacante ejecutara la segunda fase del plan en Aave.

Consecuencias y el futuro de la seguridad en DeFi 2.0

El impacto del hackeo a Kelp DAO ha reabierto el debate sobre la seguridad de los puentes. Figuras prominentes, incluido Justin Sun, intentaron negociar con los atacantes ofreciendo recompensas de “white hat” del 10-15%, pero la sofisticación del ataque sugiere que el objetivo no era solo el dinero, sino la desestabilización sistémica. La atribución a Lazarus Group refuerza la teoría de que los estados-nación ahora ven a las DeFi como un campo de batalla para la guerra financiera.

Para los inversores y desarrolladores, las lecciones son severas. Ya no basta con auditar el código del contrato inteligente; es imperativo auditar la topología de la red y la redundancia de los verificadores. La dependencia de un solo DVN o de un grupo reducido de nodos RPC es, a partir de hoy, considerada una negligencia profesional.

El mercado de las criptomonedas sufrió una caída del 7% en su TVL global en solo 48 horas, situándose en 86 mil millones de dólares. Mientras Aave lucha por equilibrar sus libros utilizando su módulo Umbrella y explorando la venta de deuda para cubrir los 196 millones de déficit, el ecosistema entero ha recibido un recordatorio brutal: en un mundo hiperconectado, la seguridad es tan fuerte como el eslabón más débil de su infraestructura invisible.

El hackeo a Kelp DAO pasará a la historia como la clase magistral de 2026 sobre cómo derribar un rascacielos financiero atacando sus cimientos, no sus ventanas. La recuperación será larga, y la confianza en los activos de restaking líquido tardará años en volver a los niveles previos al 18 de abril.