#KelpDAOBridgeHacked

La explotación del puente de KelpDAO no es solo otro titular de hackeo en criptomonedas. Es un recordatorio serio de que en DeFi, el mayor riesgo a menudo no es el producto principal en el que los usuarios confían todos los días, sino la infraestructura que opera debajo de él.

El 18 de abril, un atacante drenó 116,500 rsETH de la configuración del puente de KelpDAO, por valor de aproximadamente $290–$293 millones en ese momento. Eso representaba casi el 18% del suministro circulante de rsETH. Varios informes lo han descrito como la mayor explotación de DeFi de 2026 hasta ahora.

Lo que hace que este incidente sea especialmente importante es que el modelo central de restaking en sí mismo no parece ser la parte que falló. Los informes sugieren que la verdadera debilidad fue la configuración del puente vinculada a la mensajería LayerZero. La ruta supuestamente utilizaba una configuración de verificador 1-de-1, lo que significa que una sola verificación aceptada podría hacer que un mensaje falso entre cadenas parezca válido.

En términos simples, si un puente depende de solo un punto de control, y ese punto de control está comprometido o mal utilizado, todo el sistema puede quedar expuesto. Por eso, los puentes siguen siendo uno de los puntos más débiles en DeFi.

El daño no se detuvo con KelpDAO. Después de obtener el rsETH, el atacante supuestamente usó los tokens robados como garantía en Aave y tomó prestadas grandes cantidades de WETH contra ellos. Eso llevó el problema al ecosistema DeFi más amplio, porque una vez que un colateral defectuoso entra en un mercado de préstamos, el problema se vuelve mayor que un solo protocolo.

Los informes dicen que Aave congeló los mercados de rsETH y estimó las pérdidas en aproximadamente $196 millones en deuda incobrable, mientras que los temores de contagio afectaron rápidamente el sentimiento del mercado en general.

Ahora, el incidente se ha convertido en una batalla de culpas. LayerZero dice que la explotación estuvo aislada a la configuración de KelpDAO y señala que la configuración de un solo validador fue la razón por la cual el mensaje falsificado tuvo éxito. KelpDAO, por otro lado, argumenta que la configuración arriesgada siguió los valores predeterminados documentados por LayerZero y dependía de la infraestructura operada por LayerZero.

En otras palabras, ambas partes están de acuerdo en que la fuente del problema fue el camino del puente, pero no en quién debe ser responsable de permitir que ese diseño se implemente a gran escala.

También está surgiendo un ángulo geopolítico. Los informes indican que las señales preliminares podrían apuntar al grupo TraderTraitor de Corea del Norte. Esa atribución todavía es temprana y debe tratarse con cautela, pero añade otra capa de gravedad a una explotación que ya se perfila como uno de los eventos de seguridad en cripto más importantes del año.

La verdadera lección aquí va más allá de KelpDAO. DeFi se ha vuelto profundamente interconectado. Los puentes conectan cadenas, los tokens de restaking se mueven entre ecosistemas, y los mercados de préstamos aceptan esos activos como garantía. Esa componibilidad impulsa el crecimiento en buenos tiempos, pero durante una falla, también propaga el daño muy rápidamente.

Un verificador débil, un mensaje falsificado y un colateral tóxico pueden afectar repentinamente a prestamistas, proveedores de liquidez, sistemas de gobernanza y la confianza de los usuarios, todo a la vez.

Si este incidente cambia algo, debería cambiar la forma en que el mercado piensa sobre una infraestructura “suficientemente segura”. Un protocolo puede tener una marca fuerte, adopción rápida y mecánicas sólidas, pero si sus suposiciones sobre el puente son débiles, todo el sistema sigue siendo frágil.

La explotación de KelpDAO no es solo una historia sobre fondos perdidos. Es una historia sobre confianza oculta, valores predeterminados riesgosos y el precio que paga DeFi cuando se subestima el riesgo de infraestructura.