El exploit de $292 millones de Kelp DAO ha desencadenado una ola de reacciones en toda la industria cripto, con desarrolladores y traders advirtiendo que el incidente expuso fallas más profundas en cómo se construye las finanzas descentralizadas (DeFi).
Los datos compartidos por los participantes del mercado muestran que las consecuencias inmediatas se extendieron mucho más allá del protocolo hackeado.
"El hackeo de rsETH está provocando retiros en todos los protocolos de préstamos, incluso en solana y protocolos no afectados", dijo 0xngmi en una publicación el domingo, señalando fuertes salidas incluyendo "Aave: -6.200m (-23%) de entradas netas" y caídas más pequeñas pero notables en Morpho, Sky y JupLend. rsETH es el ether restakeado del protocolo de restaking líquido Kelp DAO y es un Token de Restaking Líquido (LRT) que permite a los usuarios ganar recompensas de staking y restaking de ether mientras mantienen sus activos líquidos, incluso cuando están bloqueados en staking.
Esa presión rápidamente se convirtió en algo más severo. Una publicación ampliamente circulada de Josu San Martin describió un estrés de liquidez en cascada dentro de los mercados de préstamos: "Los depositantes de ETH no pueden retirar el ETH, así que están pidiendo prestadas stablecoins para 'retirar' fondos... Esto es una corrida total en AAVE."
Mientras Stani Kulechov, fundador de Aave, dijo que el exploit era externo y que los contratos del protocolo no se vieron comprometidos, los depositantes entraron en pánico. El valor total bloqueado (o depósitos) cayó de $26.4 mil millones el 18 de abril a casi $20 mil millones en las horas de la mañana del domingo en EE.UU., según DefiLlama. El token AAVE también cayó más del 18% mientras los depositantes se apresuraban a retirar su dinero durante el fin de semana.
Precio del token Aave (CoinDesk)Un 'caso de estudio'
El exploit en sí se ha convertido en un punto focal para ingenieros y desarrolladores.
Varios desarrolladores rechazaron las suposiciones tempranas de que el problema provenía de la infraestructura central. "El exploit de KelpDAO (~$290M) NO es un error del protocolo LayerZero. Es un problema de configuración y un caso de estudio que todo proyecto con un token cross-chain necesita analizar hoy", decía un desglose técnico de cryptogoblin.
El hilo detalló cómo un único punto de verificación permitió el ataque. "Una firma y 116,500 rsETH se materializaron de la nada en Ethereum", decía la publicación, describiendo un sistema donde "los contratos [inteligentes] no estaban rotos. La capa de verificación sí lo estaba", afirmaba la publicación.
Otros argumentaron que el problema va más allá de una única elección de configuración.
Una crítica, que se hace llamar Fishy Catfish en X, lo enmarcó como un defecto de diseño, alegando que: "no hay un piso de seguridad... Una configuración puede ser un DVN 1/1 y el DVN que elijas puede ser un solo nodo ejecutado por una sola entidad". Un DVN (Red de Verificadores Descentralizados) en DeFi, específicamente dentro de LayerZero V2, es una entidad independiente responsable de validar y atestiguar la autenticidad de los mensajes enviados a través de diferentes redes blockchain. Esencialmente, los DVN verifican los hashes de mensajes entre una cadena de origen y una cadena de destino.
Para aclarar el punto, el autor hizo una comparación del mundo real: "imagina si un fabricante de montañas rusas permitiera a los parques de diversiones decidir individualmente cuáles son las especificaciones mínimas de seguridad". Esencialmente, el autor simplemente está diciendo que la flexibilidad sin barreras puede crear riesgos ocultos.
La publicación llegó tan lejos como para afirmar que la configuración era el problema dentro del diseño. "Personalmente creo que este es un diseño defectuoso. La seguridad modular es un espacio de diseño que vale la pena, sin embargo, el rango de seguridad debería tener un piso de seguridad nativo que sea bastante fuerte, y luego permitir capas *adicionales* de seguridad encima de eso para casos de uso de mayor valor."
'DeFi está muerto'
No es solo la cantidad y complejidad del exploit lo que atrajo las críticas duras y en pánico. La escala del exploit ha aumentado las preocupaciones.
Aproximadamente 116,500 rsETH, cerca del 18% del suministro, se vieron afectados. El atacante engañó a la capa de mensajería cross-chain de LayerZero para que creyera que había llegado una instrucción válida desde otra red, lo que provocó que el puente de Kelp liberara 116,500 rsETH a una dirección controlada por el atacante.
Los protocolos respondieron congelando mercados y pausando funciones. Aave detuvo la actividad de rsETH. Lido pausó los depósitos vinculados al activo. Otros proyectos tomaron medidas similares para limitar la exposición mientras se desarrollaba la situación.
Más allá del debate técnico, el sentimiento en el sector cripto se volvió marcadamente negativo. Una publicación quizás capturó el cambio de ánimo en términos contundentes: "DeFi está muerto... 'solo usa aave' está muerto", mientras agregaba que "La era de las cripto ha terminado" y preguntaba, "Si estás leyendo esto, ¿por qué sigues en cripto?"
Aunque la respuesta puede sonar como una reacción exagerada, ese tipo de reacción 'impulsiva' no es inusual después de grandes exploits, pero la amplitud de este evento se destaca.
El ataque afectó la infraestructura cross-chain, los modelos de restaking y los mercados de préstamos simultáneamente. También sigue a una serie de incidentes recientes. El hackeo ocurre en un período inusualmente hostil para DeFi, particularmente este mes. El protocolo de perpetuos basado en Solana, Drift, fue drenado de aproximadamente $285 millones el 1 de abril en un ataque vinculado posteriormente a actores afiliados a Corea del Norte, y al menos una docena de protocolos más pequeños han sido explotados en las semanas posteriores, incluyendo CoW Swap, Zerion, Rhea Finance y Silo Finance.
'Revisa tus configuraciones'
A pesar de todas las explicaciones, todavía hay más preguntas que respuestas.
Incluso LayerZero todavía está tratando de descubrir los detalles completos del exploit. "Estamos completamente conscientes del exploit de rsETH y hemos estado en remediación activa con el equipo @KelpDAO desde el incidente y continuamos monitoreando. Todas las demás aplicaciones permanecen seguras", dijo en una publicación en X. "Todavía estamos identificando la causa raíz junto con @_SEAL_Org y otros. Publicaremos un post-mortem completo con @KelpDAO tan pronto como tengamos toda la información."
KelpDAO hizo eco de este sentimiento. "Hoy temprano identificamos actividad cross-chain sospechosa que involucra rsETH. Hemos pausado los contratos de rsETH en mainnet y varios L2 mientras investigamos. Estamos trabajando con @LayerZero_Core, @unichain, nuestros auditores y expertos de seguridad de primer nivel en RCA. Los mantendremos informados a medida que aprendamos más sobre esta situación."
Aún así, algunos desarrolladores ven una lección más clara en el caos.
El exploit no se basó en romper el cifrado o eludir contratos inteligentes. En cambio, expuso cuán frágiles pueden volverse los sistemas cuando dependen de suposiciones en capas.
En términos simples, las herramientas funcionaron según lo diseñado. La forma en que fueron configuradas no.
Esa distinción puede dar forma a lo que viene después. Los constructores ahora instan a los proyectos a revisar sus configuraciones, especialmente aquellos que dependen de mensajería cross-chain.
Como lo expresó cryptogoblin sin rodeos: "Revisa tus configuraciones. Mantente seguro allá afuera."
Lee más: Los rendimientos de DeFi están cayendo tan fuerte que no pueden competir con una cuenta de ahorros tradicional
Fuente: https://www.coindesk.com/news-analysis/2026/04/19/defi-is-dead-crypto-community-scrambles-after-usd292-million-hack-exposes-cross-chain-risks
