Un hackeo de 290 millones de dólares en Kelp DAO desata el pánico en los mercados de Ethereum y Arbitrum

Un exploit de más de 290 millones de dólares en el ecosistema de Kelp DAO ha sacudido la actividad en Ethereum y Arbitrum y ha reavivado el temor a un contagio dentro de las finanzas descentralizadas. El ataque obligó a varios protocolos de préstamo a activar medidas de emergencia para contener el impacto. La brecha se concentró en el puente cross-chain de rsETH, utilizado para mover liquidez entre plataformas y como pieza de apoyo en operaciones de préstamo con colateral. La naturaleza interconectada de estos sistemas elevó la preocupación por la exposición sistémica, ante el riesgo de efectos en cadena derivados de activos comprometidos. El mercado reaccionó con fuerza: el token de Aave llegó a caer cerca de un 18% durante el episodio, reflejando un giro rápido del sentimiento inversor y un aumento de la prudencia en activos vinculados al incidente. Según análisis forense on-chain, la vulnerabilidad no se originó en la infraestructura de LayerZero, pese a que inicialmente se señaló su papel en la mensajería cross-chain. Los investigadores apuntan a un problema de confianza entre pares ligado a claves comprometidas en la cadena de origen, lo que habría permitido accesos no autorizados. El atacante tomó el control de un contrato "peer" legítimo de Kelp DAO, interactuó con las operaciones del puente y movió fondos sin detección temprana. Los datos de la cadena también muestran que las transacciones iniciales se financiaron a través de Tornado Cash, lo que dificultó el rastreo previo a la ejecución. Tras hacerse con los activos, el atacante evitó una liquidación inmediata y desplegó una estrategia para prolongar el control del botín: depositó rsETH en plataformas de préstamo y pidió prestado Wrapped Ethereum contra ese colateral, ampliando su exposición. Con ello extrajo liquidez mientras mantenía el control de los activos subyacentes, incrementando la presión sobre protocolos obligados a valorar colateral con incertidumbre. Los analistas estiman que el atacante controla ahora más de 106.000 ETH, con un valor cercano a 250 millones de dólares. PeckShieldAlert indicó que el explotador es el octavo mayor titular de variableDebtEthWETH en Aave sobre Ethereum, con 52.443,94 unidades (123 millones de dólares), y el cuarto mayor titular de variableDebtarbWETH en Arbitrum, con 12.381,93 unidades (22 millones de dólares). Su tenencia total se situaría en 106.466,7 ETH (aprox. 250 millones de dólares), según esa fuente (19 de abril de 2026). La posición del atacante elevó el estrés en varias plataformas al extender el riesgo a sistemas que comparten liquidez. El uso de fondos prestados complicó la contención, al no limitarse la exposición a un único protocolo. Aave respondió congelando todos los mercados de rsETH en sus despliegues V3 y V4 y deshabilitando la función de endeudamiento para frenar daños adicionales y estabilizar el sistema. Su fundador, Stani Kulechov, afirmó que los contratos inteligentes principales permanecían seguros, aunque el episodio subrayó los riesgos de integraciones externas y dependencias cross-chain. El caso ilustra la rapidez con la que el riesgo puede propagarse en DeFi cuando emerge una vulnerabilidad en infraestructura compartida, incluso con medidas de contención inmediatas.