Ataque a Puente de Kelp DAO Provoca Pérdidas de $292M en Reservas de rsETH, Aave Congela Mercados Afectados
El ataque se convierte en el mayor exploit de DeFi del año en términos de escala.
Conclusiones Clave
- Kelp DAO perdió aproximadamente $292 millones debido a un exploit en su puente que drenó 116,500 tokens de rsETH a través de Ethereum y Arbitrum.
- El atacante utilizó el rsETH robado para crear más de $280 millones en deudas incobrables en protocolos de préstamos como Aave, Compound y Euler.
Compartir este artículo
El protocolo de restaking líquido Kelp DAO sufrió un ataque a gran escala que causó aproximadamente $292 millones en daños y provocó una perturbación colateral que impactó el protocolo de préstamos Aave.
El exploit fue inicialmente señalado por el investigador de blockchain ZachXBT aproximadamente a las 2:52 p.m. el 18 de abril.
El atacante manipuló la capa de mensajería entre cadenas de LayerZero, el sistema de verificación que confirma instrucciones legítimas entre redes, haciéndole creer que había llegado una solicitud de transferencia válida desde otra cadena.
El mensaje alterado activó la transferencia no autorizada de 116,500 rsETH, el token de restaking líquido de Kelp DAO, valorado en unos $292 millones, según muestran los datos en cadena.
La cantidad explotada representa alrededor del 18% del suministro total circulante de aproximadamente 630,000 tokens de rsETH.
Kelp DAO confirmó en X que había activado salvaguardias de emergencia e inmediatamente detuvo los depósitos y retiros de rsETH, y está coordinando con LayerZero y Unichain.
Earlier today we identified suspicious cross-chain activity involving rsETH. We have paused rsETH contracts across mainnet and several L2s while we investigate.
We are working with @LayerZero_Core, @unichain, our auditors and top security experts on RCA.
We will keep you…
— Kelp (@KelpDAO) April 18, 2026
Destino de los rsETH robados
El incidente escaló a medida que los fondos robados fueron movidos a protocolos de préstamo incluyendo Aave V3, Compound V3 y Euler, donde el atacante tomó prestadas grandes cantidades de ETH envuelto contra colateral, acumulando más de $236 millones en posiciones de deuda.
Los datos en cadena muestran que el atacante consolidó alrededor de 74,000 ETH después del exploit, generando más de $280 millones en deudas incobrables en los protocolos.
En respuesta, AAV suspendió los mercados de rsETH tanto en Aave V3 como en Aave V4. El proyecto confirmó que sus contratos inteligentes no fueron comprometidos y que el problema se originó a partir de rsETH.
Aave también comenzó a revisar los préstamos respaldados por rsETH abiertos después del exploit para evaluar la exposición potencial. El equipo dijo que explorarían medidas para abordar cualquier deuda incobrable resultante.
The rsETH markets on Aave V3 and Aave V4 have been frozen. Aave's contracts have not been exploited and this is an exploit related to rsETH.
The freeze follows an exploit of the Kelp DAO rsETH bridge. Freezing the rsETH markets prevents new deposits and borrowing against rsETH…
— Aave (@aave) April 18, 2026
SparkLend y Fluid tomaron pasos idénticos, con SparkLend informando cero exposición de rsETH y atribuyendo su postura de riesgo conservadora.
Lido Finance pausó los depósitos en su producto earnETH, que lleva exposición de rsETH, mientras indicaba que su protocolo de staking principal y el token stETH estaban completamente desvinculados.
[Lido Earn Disclosure] The Lido Earn team is aware of the developing situation with the Kelp DAO exploit. earnETH has exposure to rsETH.
As a precaution, further deposits into earnETH have been paused while the situation is assessed alongside relevant partners.
We will share…
— Lido (@LidoFinance) April 18, 2026
Ethena, el emisor de la stablecoin, cerró temporalmente sus propios puentes LayerZero desde la red principal de Ethereum como precaución a pesar de no tener exposición a rsETH y mantener más del 101% de colateralización.
Out of an abundance of caution we are temporarily pausing our LayerZero OFT bridges from Ethereum mainnet until the root cause of the rsETH incident has been identified.
We expect the pause to last ~6 hours and will provide updates on this temporary pause as we receive them.
— Ethena (@ethena) April 18, 2026
El token de Aave cayó alrededor del 10% tras noticias del ataque, según CoinGecko.
Una fase brutal para DeFi
El ataque es el mayor exploit de DeFi del año hasta la fecha y ocurrió semanas después de que el protocolo de perpetuos basado en Solana, Drift Protocol, fuera atacado en una brecha administrativa dirigida.
El 1 de abril, Drift perdió aproximadamente $285 millones en un ataque posteriormente vinculado a actores afiliados a Corea del Norte. Al menos una docena de protocolos más pequeños han sido afectados en las semanas siguientes, incluyendo CoW Swap, Zerion, Rhea Finance y Silo Finance.
El exploit del puente de Kelp DAO marca un grave fallo de seguridad en el ámbito de las finanzas descentralizadas (DeFI), subrayando la fragilidad de los protocolos entre cadenas en medio de olas crecientes de explotación en 2026. Con pérdidas totales que superan los $292 millones en este incidente solo, inversores y desarrolladores están lidiando con las implicaciones para los protocolos restantes a medida que la adopción de tecnologías entre cadenas se expande. Este incidente ocurrió poco después del exploit del Protocolo Drift, que drenó $285 millones solo semanas antes, señalando una tendencia preocupante de vulnerabilidad dentro del paisaje DeFI que ha dejado a numerosos participantes del mercado expuestos. Esta oleada de actividad de explotación induce miedo en las plataformas DeFI, provocando acciones inmediatas de protocolos que arriesgan contagio financiero significativo debido a la interconectividad de los activos digitales y los sistemas de colateral.
Este artículo solo tiene fines informativos y no constituye asesoramiento financiero, legal o de inversión. Realice su propia diligencia debida antes de tomar decisiones financieras.
