NOTICIA PRINCIPAL: Kelp DAO sufre un exploit de 292 M$ y se congelan los mercados de rsETH en Aave

El protocolo de "liquid restaking" @KelpDAO sufrió hoy un vaciado de 116.500 rsETH valorados en torno a 292 M$, tras lo cual el atacante movió de inmediato los tokens por @aave, Compound V3 y Euler para pedir prestados más de 236 M$ en $wETH. Según el relato del incidente, el exploit arrancó a las 17:35 UTC, cuando el atacante invocó la función lzReceive de LayerZero en el contrato EndpointV2. Con un paquete crosschain falsificado, habría engañado al puente de Kelp para liberar rsETH hacia carteras prefinanciadas a través de Tornado Cash. @zachxbt alertó del ataque poco antes de las 15:00 ET. El "pause" de emergencia ejecutado por el multisig de Kelp llegó a las 18:21 UTC, 46 minutos después del primer drenaje. Dos intentos posteriores, a las 18:26 y 18:28 UTC, fueron revertidos; en ambos casos se intentó extraer otros 40.000 rsETH, equivalentes a unos 100 M$. La cantidad drenada supone el 18% del suministro circulante de rsETH, estimado en ~630.000. Con rsETH desplegado en más de 20 redes, el episodio reabre dudas sobre el respaldo de sus versiones "wrapped" en L2. @aave, SparkLend, Fluid y @upshift_fi han congelado los mercados de rsETH. El fundador de Aave, Stani Kulechov, afirmó que los contratos del protocolo no se vieron comprometidos y que rsETH no tiene "poder de endeudamiento". El backstop Umbrella de Aave, que sustituyó al antiguo Safety Module a finales de 2025, afronta su primera gran prueba en un caso real. @LidoFinance pausó los depósitos de earnETH. @ethena_labs suspendió durante unas seis horas sus puentes LayerZero OFT como medida preventiva pese a no tener exposición a rsETH. En el mercado, $AAVE cayó aproximadamente un 10% tras conocerse la noticia. Por volumen, el ataque supera el hack del 1 de abril a @DriftProtocol (285 M$, vinculado a Corea del Norte) y se convierte en el mayor exploit DeFi de 2026.