#rsETHAttackUpdate

La explotación de rsETH: Un análisis profundo del mayor hack de DeFi en 2026

El 18 de abril de 2026, aproximadamente a las 17:35 UTC, el ecosistema de finanzas descentralizadas presenció lo que se ha convertido en la mayor explotación del año cuando los atacantes drenaron aproximadamente 116,500 tokens rsETH del puente impulsado por LayerZero de Kelp DAO, lo que representa aproximadamente $292 millones en valor y alrededor del 18% del suministro circulante del token. Este incidente ha enviado ondas de choque a través de todo el panorama DeFi, desencadenando respuestas de emergencia en múltiples protocolos y exponiendo vulnerabilidades críticas en la arquitectura de puentes entre cadenas.

**Cómo se desarrolló el ataque**

La explotación apuntó a la ruta rsETH de LayerZero V2 Unichain a Ethereum de Kelp DAO, que fue configurada con una falla de seguridad crítica: una configuración de Red de Verificadores Descentralizados (DVN) de 1 de 1. El atacante logró falsificar un paquete entrante de Unichain a Ethereum que fue verificado por una sola attestación de DVN sin ninguna transacción de quema correspondiente en el lado fuente. Este paquete malicioso, con nonce 308, engañó al RSETH_OFTAdapter en Ethereum para liberar 116,500 rsETH a la dirección controlada por el atacante.

La invariancia fundamental del puente—que la cantidad de rsETH bloqueada en el adaptador de Ethereum debe ser siempre mayor o igual a la cantidad total de rsETH acuñada en todas las cadenas remotas—fue rota. El saldo del adaptador cayó de 116,723 rsETH a solo 223 rsETH en un solo bloque. El atacante intentó un segundo paquete falsificado (nonce 309) para otros 40,000 rsETH, pero esta ejecución se revertió porque Kelp ya había iniciado protocolos de congelación de emergencia.

**La estrategia de contaminación de DeFi**

En lugar de simplemente mantener los activos robados, el atacante ejecutó una estrategia sofisticada para maximizar el valor de extracción. En minutos, los 116,500 rsETH se distribuyeron en siete direcciones secundarias. Desde allí, los fondos siguieron caminos divergentes: algunos se suministraron como colateral en Aave V3 en la red principal de Ethereum, otros se bridgieron a Arbitrum para abrir posiciones en esa cadena, y algunos se redirigieron a través de otros venues.

El atacante depositó 89,567 rsETH en los mercados de Aave, tomando prestado aproximadamente 82,650 WETH por valor de 190,86 millones de dólares y 821 wstETH por valor de 2,33 millones de dólares. Los factores de salud de estas posiciones se mantuvieron entre 1.01 y 1.03, indicando que se mantuvieron deliberadamente cerca de los umbrales de liquidación para maximizar el apalancamiento sin realizar liquidaciones forzadas.

**Respuestas inmediatas del protocolo**

Los mecanismos defensivos de Aave se activaron horas después de la explotación. Aproximadamente a las 19:00 UTC del 18 de abril, el Guardián del Protocolo congeló todas las reservas de rsETH y wrsETH en cada despliegue de Aave V3, estableciendo las proporciones préstamo-valor en cero. Esta acción deshabilitó nuevas aportaciones y préstamos, mientras preservaba las capacidades de gestión de posiciones existentes. Los mercados afectados abarcaron Ethereum Core, Ethereum Prime, Arbitrum, Avalanche, Base, Ink, Linea, Mantle, MegaETH, Plasma y zkSync.

El Administrador de Riesgos implementó ajustes en las tasas de interés en varias cadenas, reduciendo Slope2 a 1.50% y bajando las tasas de préstamo al 100% de utilización de 8.5-10.5% a un 3.0% APR para garantizar la sostenibilidad. Para el 20 de abril, WETH fue congelado en Core, Prime, Arbitrum, Base, Mantle y Linea para evitar que el riesgo se propagara a otros reservas, incluyendo stablecoins.

Otros protocolos también actuaron rápidamente. SparkLend, Fluid y Upshift pausaron sus mercados de rsETH. Upshift específicamente detuvo depósitos y retiros en sus vaults de High Growth ETH y Kelp Gain, aunque sus productos USDC y AUSD permanecieron sin cambios debido a la falta de exposición a rsETH.

**Exposición financiera actual y escenarios de deuda incobrable**

Según los informes más recientes, no se ha confirmado públicamente ninguna decisión oficial de Kelp respecto a la asignación de pérdidas o recuperación. El saldo actual del adaptador de 40,373 rsETH representa el respaldo confirmado único para todos los rsETH en cadenas remotas en todos los caminos de L2, frente a reclamaciones remotas totales de 152,577 rsETH. Esto crea una brecha de respaldo significativa que podría afectar las valoraciones de los tokens en todo el ecosistema.

Las variables abiertas que afectan la resolución final incluyen el límite de socialización—si se aplica algún recorte a todos los poseedores de rsETH o solo a los de las cadenas afectadas, lo cual por sí solo cambia el impacto por token en aproximadamente cinco veces—el tamaño y el momento de cualquier recuperación o recapitalización, los mecanismos de fijación de precios de redención y el tratamiento del rsETH acuñado a través del camino comprometido del puente.

**Esfuerzos de recuperación en toda la industria**

La respuesta a esta crisis ha demostrado la naturaleza colaborativa del ecosistema DeFi. Se ha lanzado un fondo de recuperación coordinado "DeFi United" con contribuciones significativas de actores principales. La Fundación Golem y Factory han prometido 1,000 ETH, mientras que Lido Labs comprometió 5.7 millones de dólares. El fundador de Aave, Stani Kulechov, contribuyó personalmente con 5,000 ETH a los esfuerzos de recuperación. La Fundación Ink ha brindado respaldo no divulgado para los esfuerzos de restauración, y más de 1,800 participantes de la comunidad votaron unánimemente a favor del plan de rescate.

**Impacto en el mercado y riesgos en curso**

La explotación provocó retiros por más de $10 mil millones de dólares de Aave, con tasas de utilización en pools de USDC, USDT y wETH alcanzando el 100%. El token AAVE experimentó una caída de aproximadamente el 11% tras el incidente. El token rsETH se despegó significativamente, llegando a cotizar tan bajo como $1,723 en ciertos momentos.

A pesar de la gravedad, la situación se ha estabilizado gracias a la acción coordinada de la comunidad DeFi. Los mercados permanecen colateralizados a pesar del alto uso, con el enfoque ahora en la restauración ordenada del respaldo de rsETH. Sin embargo, los usuarios deben monitorear los canales oficiales de Kelp DAO, Aave y LayerZero para las resoluciones finales, ya que la situación continúa evolucionando.

**Lecciones e implicaciones**

Este incidente expone vulnerabilidades fundamentales en la arquitectura de puentes entre cadenas, particularmente los riesgos asociados con configuraciones de DVN de punto único de fallo. El diseño de restaking de rsETH amplificó estos riesgos, destacando cómo las vulnerabilidades en el colateral pueden propagarse a través de protocolos DeFi interconectados. El ataque demuestra la importancia crítica de la verificación multifirma, sistemas de monitoreo robustos y capacidades de respuesta rápida en la infraestructura de finanzas descentralizadas.

La explotación de rsETH sirve como un recordatorio contundente de que, si bien DeFi ofrece una innovación financiera sin precedentes, también conlleva riesgos técnicos significativos que requieren vigilancia constante, prácticas de seguridad robustas y mecanismos de respuesta comunitaria coordinados para abordarlos eficazmente.