Hackeo Kelp DAO: el mayor robo DeFi de 2026 por 290 millones

El ecosistema de las finanzas descentralizadas (DeFi) acaba de despertar ante su peor pesadilla en lo que va del año. El pasado fin de semana del 18 y 19 de abril de 2026, lo que parecía ser una operación rutinaria en el sector de los Liquid Restaking Tokens (LRT) se transformó en una catástrofe financiera de proporciones épicas. El hackeo Kelp DAO, que resultó en la extracción de más de 290 millones de dólares de su puente rsETH, no solo representa el mayor robo del 2026, sino que ha puesto en tela de juicio la integridad estructural de las arquitecturas de mensajería cross-chain que sostienen a la industria.

Este incidente no fue el resultado de un error de lógica en un contrato inteligente auditado, sino de una falla sistémica en la configuración de confianza. Al explotar una configuración de Red de Verificadores Descentralizados (DVN) de tipo 1-de-1, los atacantes lograron vulnerar el puente rsETH basado en LayerZero V2, emitiendo activos sin respaldo y propagando una deuda incobrable a través de los protocolos de préstamo más importantes del mundo, incluyendo Aave y Compound.

Anatomía de un Desastre: Cómo se ejecutó el hackeo Kelp DAO

La cronología del ataque comenzó el sábado 18 de abril a las 17:35 UTC. Según los datos forenses on-chain analizados por firmas de seguridad como D2 Finance y PeckShield, el atacante inició el proceso con una precisión quirúrgica. Todo comenzó con el financiamiento de una billetera a través de Tornado Cash, utilizando el pool de 1 ETH para ocultar el origen de los fondos iniciales. Diez horas después, se activó la fase de ejecución.

El núcleo del hackeo Kelp DAO consistió en la manipulación del método lzReceive en el contrato EndpointV2 de LayerZero. El atacante logró forjar un mensaje cross-chain que “engañó” al OFTAdapter (Omnichain Fungible Token Adapter) de Kelp en la red principal de Ethereum. Este mensaje fraudulento indicaba que se habían bloqueado activos legítimos en otra cadena (probablemente una red de capa 2 como Arbitrum o Unichain), cuando en realidad no existía tal depósito.

Como resultado de esta validación falsa, el protocolo liberó 116,500 rsETH directamente a la dirección del atacante (0x8B1b6...0D3b). En un solo movimiento, el 18% del suministro circulante total de rsETH fue “acuñado” de la nada, con un valor de mercado en ese momento de aproximadamente 292 millones de dólares. Este fue el momento exacto en que la “conservación del suministro omnichain” se rompió, creando una crisis de solvencia instantánea.

El 1-de-1 DVN: La trampa de la centralización oculta

La pregunta que recorre los foros de gobernanza es: ¿Cómo pudo un protocolo con más de 1.5 mil millones de dólares en valor total bloqueado (TVL) ser vulnerado tan fácilmente? La respuesta técnica reside en la configuración de la Decentralized Verifier Network (DVN).

LayerZero V2 permite que cada aplicación (OApp) elija su propio stack de seguridad. Esto significa que los desarrolladores pueden decidir cuántos verificadores independientes deben firmar un mensaje antes de que se considere válido. En una configuración robusta, se esperaría un modelo de 3-de-5 o 5-of-9, donde múltiples nodos independientes (como Google Cloud, Polyhedra o nodos propios de la comunidad) deben llegar a un consenso.

• Configuración Elegida por Kelp: 1-de-1 (requiredDVNCount: 1).
• Verificador Único: Un solo nodo gestionado por LayerZero Labs.
• Consecuencia: La seguridad del protocolo se redujo a la integridad de una sola clave privada o la seguridad de un solo nodo centralizado.

Al comprometer este único punto de falla —presuntamente mediante tácticas sofisticadas de ingeniería social vinculadas a actores estatales de Corea del Norte—, el atacante obtuvo “carta blanca” para validar cualquier transacción. No hubo necesidad de romper el código de LayerZero; simplemente se utilizó la puerta que el propio equipo de Kelp DAO dejó entornada al elegir la configuración de seguridad más débil disponible en el espectro.

La “Teatralidad de la Seguridad” y el Contagio Sistémico

El término “security theater” (teatro de la seguridad) ha vuelto a la palestra con fuerza tras este incidente. Muchos expertos señalan que el hackeo Kelp DAO es el ejemplo perfecto de protocolos que se comercializan como “descentralizados”, pero que operan bajo estructuras de confianza altamente centralizadas y opacas para el usuario promedio.

Lo que hace que este ataque sea particularmente devastador es el uso que el hacker le dio a los rsETH robados. En lugar de intentar vender los tokens en un exchange descentralizado (DEX), donde el deslizamiento de precios (slippage) habría destruido el botín, el atacante utilizó los rsETH como colateral en mercados de préstamos. Aave V3 y V4, Compound V3 y Euler fueron los principales objetivos.

El asalto a los mercados de préstamos

Debido a que rsETH era aceptado como colateral de alta calidad, el atacante pudo depositar sus tokens sin respaldo y pedir prestados activos reales con alta liquidez, principalmente WETH (Wrapped Ethereum). Las cifras son aterradoras:

1. Aave Ethereum: El atacante suministró rsETH y tomó prestados 52,834 WETH.
2. Aave Arbitrum: Se movieron fondos a L2 para extraer otros 29,782 WETH y 821 wstETH.
3. Deuda Total Generada: Se estima que el atacante huyó con más de 236 millones de dólares en ETH real, dejando atrás rsETH sin valor y una montaña de deuda incobrable (bad debt) en los protocolos de préstamo.

La rapidez de la maniobra obligó a los equipos de riesgo de Chaos Labs y Gauntlet a actuar en minutos. Stani Kulechov, fundador de Aave, ordenó la congelación inmediata de todos los mercados de rsETH en las versiones V3 y V4. Sin embargo, para entonces, el “agujero” financiero ya era una realidad.

Implicaciones Geopolíticas: ¿La sombra de Lazarus?

Las autoridades y equipos forenses de blockchain han identificado patrones que apuntan a actores de amenazas persistentes avanzadas (APT), específicamente aquellos vinculados a la República Popular Democrática de Corea (RPDC). El uso de ingeniería social para obtener acceso a nodos validadores o claves de implementación es una firma clásica del Grupo Lazarus.

Investigaciones preliminares sugieren que un miembro del equipo técnico de Kelp DAO pudo haber sido blanco de un ataque de phishing altamente sofisticado meses antes, lo que permitió a los atacantes observar la infraestructura y esperar el momento oportuno. Esta conexión con el espionaje y financiamiento estatal eleva el hackeo Kelp DAO de un simple “robo cripto” a un incidente de seguridad nacional para las jurisdicciones donde operan los protocolos afectados.

Respuestas y el Futuro de los LRT

El impacto en el mercado fue inmediato. El token de gobernanza de Aave (AAVE) sufrió una caída del 18% en cuestión de horas, reflejando el temor de los inversores a que el “Módulo Umbrella” (el sistema de respaldo de Aave para cubrir deudas incobrables) tuviera que ser activado, diluyendo el valor del token. Por su parte, Kelp DAO logró ejecutar una función de pauseAll mediante su multi-sig de emergencia 46 minutos después de la primera transacción maliciosa, lo que evitó el robo de otros 40,000 rsETH (unos 100 millones adicionales).

Lecciones para la industria en 2026

Este suceso marca un antes y un después en cómo se percibe la seguridad de los puentes. Ya no basta con decir que un contrato está auditado; la auditoría de configuración se ha vuelto tan o más importante que la auditoría de código. Como bien señalaron analistas de seguridad tras el ataque, el error no estaba en un archivo .sol, sino en un parámetro de despliegue: el umbral de la DVN.

Para que el sector de los Liquid Restaking Tokens sobreviva a este golpe, se están discutiendo reformas urgentes:

• DVN Multi-Capa Obligatorias: Los protocolos con TVL superior a cierto umbral deberían estar obligados por los estándares de los mercados de préstamo a utilizar configuraciones de al menos 3-de-5 DVNs independientes.
• Límites de Emisión en Tiempo Real: Implementar circuit breakers a nivel de protocolo que detecten acuñaciones anómalas de tokens en comparación con los depósitos en garantía.
• Transparencia de Configuración: Herramientas como LayerZero Scan deben hacer más evidente para el usuario final cuál es el nivel de seguridad (n-de-m) de un puente específico, evitando el engaño de la falsa descentralización.

El hackeo Kelp DAO deja una cicatriz profunda en el DeFi del 2026. Mientras el equipo de Kelp trabaja con LayerZero y Unichain en la remediación y busca formas de recapitalizar el protocolo, la comunidad cripto se enfrenta a una verdad incómoda: en la búsqueda de velocidad y adopción masiva, se sacrificaron los principios básicos de seguridad que dieron origen a Bitcoin. Si los puentes siguen siendo el talón de Aquiles de la interoperabilidad, el futuro multichain seguirá siendo un campo minado para los inversores.