#rsETHAttackUpdate

Actualización del ataque rsETH: 26 de abril de 2026

El 18 de abril de 2026, aproximadamente a las 17:35 UTC, los atacantes explotaron una vulnerabilidad crítica en el puente entre cadenas LayerZero V2 de Kelp DAO para rsETH. Este incidente es el mayor exploit de DeFi de 2026 hasta la fecha, con aproximadamente 116,500 rsETH no respaldados acuñados y drenados—valorados en aproximadamente 292-293 millones de dólares en el momento del ataque, lo que representa alrededor del 18% de la oferta circulante de rsETH.

Cómo funcionó el ataque

El exploit se dirigió al mecanismo de puente rsETH de Kelp, que utiliza un sistema de bloqueo y acuñación LayerZero. Bajo operación normal, los fondos se bloquean en la cadena de origen y se acuñan en la cadena de destino, con la verificación gestionada por una Red de Verificadores Descentralizados. La vulnerabilidad residía en la ruta Unichain a Ethereum, que estaba configurada con un solo nodo verificador en lugar de un quórum de firma múltiple.

Los atacantes, atribuidos al Grupo Lazarus de Corea del Norte y su subgrupo TraderTraitor, comprometieron dos nodos RPC de LayerZero Labs. Inyectaron datos falsificados simulando una quema de rsETH en Unichain mientras lanzaban ataques DDoS en RPC externos para forzar una conmutación por error a su infraestructura comprometida. Esta manipulación engañó al único verificador para aprobar un paquete LayerZero fraudulento, liberando fondos sin que ocurriera ninguna transacción de quema real en la cadena de origen.

Es importante destacar que esto no fue un error en un contrato inteligente, sino un ataque a la infraestructura fuera de la cadena que involucró envenenamiento de RPC. El malware empleado se autodestruyó tras el exploit. Un segundo intento de ataque dirigido a aproximadamente 40,000 rsETH valorados en 95-100 millones de dólares fue bloqueado con éxito por el mecanismo de pausa de emergencia de Kelp.

**Respuesta inmediata e impacto en el mercado**

En una a dos horas tras la detección, múltiples protocolos implementaron medidas de emergencia. Kelp DAO pausó los contratos de rsETH en Ethereum y todas las redes Layer 2, además de poner en lista negra las direcciones de los atacantes. Aave V3 y V4 congelaron los mercados de rsETH y wrsETH, estableciendo ratios de préstamo a valor en cero, y posteriormente congelaron WETH en varias cadenas antes de desbloquear parcialmente los mercados en Ethereum el 21 de abril. Otros protocolos afectados, como SparkLend, Fluid, Upshift, Compound, Euler y Lido, también pausaron mercados expuestos a rsETH.

El atacante depositó 89,567 rsETH valorados en aproximadamente $221 millones como colateral en Aave V3 en Ethereum y Arbitrum, tomando prestado aproximadamente 82,650 WETH valorados en 190.9 millones de dólares, además de 821 wstETH por valor de 2.3 millones de dólares. Los factores de salud en estas posiciones fluctuaron entre 1.01 y 1.03, indicando una colateralización extremadamente apalancada y arriesgada. Se realizaron depósitos menores adicionales en Compound V3 y Euler.

El mercado en general sintió ondas de choque significativas. Aproximadamente $13 mil millones en valor total bloqueado salió de plataformas DeFi en dos días. Las tasas de utilización de WETH alcanzaron el 100% en cadenas clave, y rsETH perdió su paridad en redes Layer 2. Las pérdidas totales por hackeo en abril de 2026 alcanzaron aproximadamente $606 millones, convirtiéndose en uno de los meses más costosos en la historia de DeFi.

**Estado actual de recuperación**

Hasta el 26 de abril, han surgido varios desarrollos positivos. El Consejo de Seguridad de Arbitrum logró congelar 30,766 ETH, valorados en aproximadamente $71 millones, de una dirección atacante el 21 de abril. Estos fondos ahora están en una billetera controlada por la gobernanza, con coordinación en curso entre el consejo y las agencias de aplicación de la ley.

Los protocolos DeFi han prometido aproximadamente 43,500 ETH para restaurar las reservas de rsETH. La DAO de Aave ha propuesto contribuir con 25,000 ETH, valorados en aproximadamente $58 millones, a través de un fondo DeFi United, que ahora suma aproximadamente $161 millones. Kelp y LayerZero están coordinando esfuerzos de recuperación, con el módulo Umbrella de Aave que mantiene alrededor de $54 millones en aWETH, considerado como un posible mecanismo de compensación.

El informe de incidentes del 20 de abril de Aave describió dos escenarios principales para gestionar posibles deudas incobrables. El primero implica una socialización de pérdidas uniforme en toda la oferta de rsETH, resultando en una pérdida de paridad del 15.12% y aproximadamente $124 millones en deuda incobrable total. El segundo escenario apunta a recortes solo en Layer 2 del 73.54% en las tenencias remotas de rsETH, lo que generaría aproximadamente $230 millones en deuda incobrable con impactos severos en cadenas como Mantle, que enfrentan déficits del 71%.

LayerZero ha descontinuado la configuración vulnerable de DVN 1-de-1 y ha reemplazado la infraestructura RPC comprometida. Han confirmado que ninguna otra aplicación se vio afectada por esta vulnerabilidad específica.

**Puntos clave**

El exploit de rsETH resalta riesgos críticos en arquitecturas de puentes entre cadenas, particularmente aquellas que dependen de mecanismos de verificación de punto único de fallo y infraestructura RPC centralizada. El ataque demuestra cómo los componentes fuera de la cadena pueden ser comprometidos incluso cuando los contratos inteligentes están seguros.

El rsETH en la red principal de Ethereum sigue completamente respaldado por los depósitos de staking de Kelp. El problema principal reside en el adaptador del puente Layer 2, donde 40,373 rsETH respaldan 152,577 reclamaciones, creando un déficit de aproximadamente 112,000 rsETH.

La recuperación total del $292 millones iniciales sigue siendo poco probable a corto plazo. Chainalysis y Certik continúan rastreando los flujos de fondos. La tesorería de Aave, con aproximadamente $181 millones más ingresos en curso, proporciona un colchón contra las pérdidas realizadas. Tanto las propuestas de gobernanza de Kelp como de Aave permanecen activas mientras la comunidad debate mecanismos de asignación de pérdidas.

De cara al futuro, la industria enfrenta presiones para implementar quórums multi-DVN, sistemas de monitoreo de invariantes y auditorías exhaustivas de infraestructura fuera de la cadena. Aunque el TVL en staking ha sido sacudido, el staking en la red principal de Ethereum permanece intacto. Todos los interesados deben seguir los foros de gobernanza de Aave y Kelp, además de los informes post-mortem de LayerZero, para estar al tanto de los desarrollos en evolución.