coin-img-ETHETH-2.54%coin-img-BTCBTC-1.32%coin-img-SOLSOL-1.40%coin-img-ASTEROIDETHASTEROIDETH+49.95%coin-img-TOMTOM-9.29%coin-img-XRPXRP-1.39%coin-img-USDCUSDC+0.00%coin-img-RAVERAVE+59.91%coin-img-ETHETH-2.54%coin-img-BTCBTC-1.32%coin-img-SOLSOL-1.40%coin-img-ASTEROIDETHASTEROIDETH+49.95%coin-img-TOMTOM-9.29%coin-img-XRPXRP-1.39%coin-img-USDCUSDC+0.00%coin-img-RAVERAVE+59.91%coin-img-ETHETH-2.54%coin-img-BTCBTC-1.32%coin-img-SOLSOL-1.40%coin-img-ASTEROIDETHASTEROIDETH+49.95%coin-img-TOMTOM-9.29%coin-img-XRPXRP-1.39%coin-img-USDCUSDC+0.00%coin-img-RAVERAVE+59.91%coin-img-ETHETH-2.54%coin-img-BTCBTC-1.32%coin-img-SOLSOL-1.40%coin-img-ASTEROIDETHASTEROIDETH+49.95%coin-img-TOMTOM-9.29%coin-img-XRPXRP-1.39%coin-img-USDCUSDC+0.00%coin-img-RAVERAVE+59.91%

Un exploit de Kelp por unos 292 millones de dólares destapa fallos en la infraestructura DeFi

Un ataque estimado en torno a 292 millones de dólares durante el fin de semana sacudió al sector cripto, al dejar al descubierto vulnerabilidades en la infraestructura de las finanzas descentralizadas (DeFi) y avivar el temor a efectos en cadena sobre los protocolos de préstamo. La investigación sigue en curso, pero los primeros indicios apuntan a Kelp y a su token rsETH, una versión de ether (ETH) con rendimiento, así como al mecanismo utilizado para mover activos entre cadenas. El atacante habría manipulado ese sistema para acuñar grandes cantidades de tokens sin respaldo y, acto seguido, emplearlos como colateral para pedir préstamos y extraer activos reales de los mercados de lending, principalmente de Aave AAVE $ 90.11 , el mayor prestamista descentralizado. El episodio supone otro golpe para DeFi apenas dos semanas después del exploit de 285 millones de dólares contra el protocolo Drift, basado en Solana, lo que vuelve a mermar la confianza de los inversores en un sector cripto cercano a los 90.000 millones de dólares. A nivel técnico, el ataque se habría dirigido a un componente de puente de LayerZero, infraestructura que permite trasladar activos entre distintas blockchains, según explicó a CoinDesk en una nota Charles Guillemet, CTO del fabricante de billeteras hardware Ledger. Los puentes suelen funcionar bloqueando activos en una cadena y acuñando tokens equivalentes en otra. Ese proceso depende de una entidad de confianza —a menudo un oráculo o validador— que confirme los depósitos. En este caso, Kelp actuaba de facto como verificador. Guillemet indicó que el sistema se apoyaba en una configuración de firmante único, de modo que una sola entidad podía aprobar cualquier transacción. "Parece que el atacante pudo firmar un mensaje… que le permitió acuñar una gran cantidad de rsETH", afirmó, y añadió que aún no está claro cómo se obtuvo ese acceso. Michael Egorov, fundador de Curve Finance, señaló la misma debilidad en la configuración: "Las cosas pueden pasar cuando confías en una sola parte, sea quien sea". Esa arquitectura habría permitido crear tokens sin respaldo, pese a que no se bloqueó ningún activo equivalente en la cadena de origen. Tras la acuñación, los tokens se pusieron en circulación rápidamente. El atacante "los depositó de inmediato en protocolos de préstamo, sobre todo Aave, para pedir prestado ETH real contra ellos", explicó Guillemet. Con esa maniobra, el problema dejó de ser un exploit aislado para convertirse en un riesgo de mercado más amplio: las plataformas DeFi se quedan con un colateral difícil de deshacer mientras los activos líquidos ya han sido drenados. "Aave se quedó con rsETH que no se puede vender de verdad y con ETH [sic] prestado al máximo, así que nadie puede retirar ETH", dijo Egorov. Advirtió de que Aave y otros protocolos podrían acumular cientos de millones de dólares en colateral dudoso y deuda incobrable, alimentando un posible efecto "bank run" si los usuarios se apresuran a retirar fondos. Tras el incidente, Aave registró una caída de alrededor de 6.000 millones de dólares en activos dentro del protocolo, a medida que los usuarios retiraban posiciones. El token asociado al protocolo retrocedió cerca de un 15% en las últimas 24 horas. Persisten incógnitas sobre cómo se comprometió el validador. El sistema dependía del nodo oficial de LayerZero, lo que deja abierto si fue hackeado, mal configurado o engañado. "¿Fue hackeado? ¿Fue engañado? No lo sabemos", afirmó Egorov. La identidad del atacante también se desconoce, aunque Guillemet sostuvo que la escala del golpe sugiere un actor sofisticado. "Desde luego no son unos 'script kiddies'", dijo. Más allá de las pérdidas inmediatas, el incidente vuelve a evidenciar que, a medida que DeFi se interconecta, un fallo en una capa puede propagarse con rapidez por el sistema. Egorov señaló que los modelos de préstamo no aislados, donde los activos comparten riesgo entre pools, amplifican el impacto. También criticó carencias en los procesos de incorporación de nuevos activos, y sostuvo que configuraciones como el verificador 1of1 de Kelp deberían haberse detectado antes. Egorov apuntó, no obstante, un aspecto positivo: "Crypto es un entorno duro que ningún banco habría soportado —y aun así estamos trabajando con ello. Creo que DeFi aprenderá de este incidente y saldrá más fuerte que antes". Aun así, episodios como este, incluso cuando derivan en mejoras y rediseños, siguen erosionando la confianza en el conjunto del sector. "En general, este tipo de eventos desgasta la confianza en los protocolos DeFi", dijo Guillemet. "2026 será muy probablemente el peor año en términos de hacks, otra vez", añadió. Leer más: 'DeFi is dead': la comunidad cripto se moviliza tras el mayor hack del año, que expone riesgos de contagio
Seleccionado
ETH
ETH-2.52%
AAVE
AAVE-3.96%
Descargo de responsabilidad: El contenido anterior es solo la opinión del autor y no representa la postura de BingX. No debe interpretarse como un consejo de inversión por parte de BingX. Para obtener más información, consulta los Términos y condiciones.