#KelpDAOBridgeHacked 1. La Exploitación Técnica de "Mensaje Falsificado"

El ataque fue una clase magistral en explotar la composabilidad. La vulnerabilidad residía en la infraestructura del puente (utilizando LayerZero) que conecta rsETH de KelpDAO a través de múltiples cadenas.
La Falsificación: Los atacantes crearon una carga útil maliciosa entre cadenas que eludía la capa de verificación. El puente "avaló" incorrectamente la legitimidad de un depósito masivo que nunca ocurrió en la cadena de origen.
La Emisión: Esto permitió al atacante acuñar 116,500 rsETH de la nada en la cadena de destino.
El "Bucle" de Drenaje: En lugar de vender el rsETH (lo que habría colapsado el precio inmediatamente), los hackers depositaron el rsETH falso como garantía en Aave V3, Compound y Euler. Luego tomaron prestado ETH real y stablecoins contra ello.
Deuda Incobrable: Debido a que la garantía era esencialmente "sin valor" (sin respaldo), los protocolos de préstamo ahora enfrentan una deuda incobrable combinada de más de 230 millones de dólares, ya que no hay un activo subyacente real para liquidar.
2. Impacto en el Mercado y Contagio
La reacción del mercado refleja un temor a un "Fracaso Sistémico DeFi" en lugar de solo la pérdida de un protocolo.
3. Estado Actual de la Recuperación
Hasta la tarde del lunes, 20 de abril:
Estado del Protocolo: KelpDAO ha pausado con éxito todos los contratos rsETH en Mainnet y L2s (incluyendo Unichain).
Límites de Préstamo: Aave y Compound han congelado los mercados de rsETH. Los usuarios no pueden depositar ni tomar prestado más, aunque las posiciones existentes están actualmente "atrapadas" hasta que se alcance una resolución.
Investigación: Las firmas de seguridad Cyvers y PeckShield están trabajando con el equipo de LayerZero para rastrear los fondos, que actualmente están siendo canalizados a través de mezcladores de privacidad.
4. Conclusiones Clave para 2026
Este evento marca la mayor explotación DeFi de 2026 y destaca tres fallos críticos:
Fragilidad del Puente: Incluso las soluciones "omnichain" solo son tan fuertes como su menor brecha de verificación.
Riesgo LRT: Los Tokens de Restaking Líquido (LRTs) crean un riesgo "recursivo". Cuando un activo se reutiliza cinco veces como garantía, un $300M hack puede amenazar con más de 5 mil millones de dólares en liquidez total.
El Problema de la "Velocidad": Solo 46 minutos fueron suficientes para drenar el sistema. Los mecanismos tradicionales de "pausa" de seguridad son actualmente demasiado lentos para detener scripts de ataque mejorados con IA o altamente automatizados.