El exploit de 292 millones de dólares de Kelp DAO ha desatado una ola de reacciones en toda la industria cripto, con desarrolladores y traders advirtiendo que el incidente expuso fallas profundas en la forma en que se construyen las finanzas descentralizadas (DeFi).
Los datos compartidos por los participantes del mercado muestran que las repercusiones inmediatas se extendieron mucho más allá del protocolo hackeado.
“El hackeo de rsETH está provocando retiros en todos los protocolos de préstamos, incluso en Solana y en protocolos no afectados”, dijo 0xngmi en una publicación el domingo, señalando salidas abruptas que incluyen “Aave: -6,200 millones (-23%) de entradas netas” y disminuciones menores pero notables en Morpho, Sky y JupLend. rsETH es el ether en restaking del protocolo de restaking líquido Kelp DAO y es un Token de Restaking Líquido (LRT) que permite a los usuarios obtener recompensas por staking y restaking de ether mientras mantienen sus activos líquidos, incluso cuando están bloqueados en el staking.
Esa presión se convirtió rápidamente en algo más grave. Una publicación muy difundida de Josu San Martín describió el estrés de liquidez en cascada dentro de los mercados de préstamos: “Los depositantes de ETH no pueden retirar su ETH, así que están pidiendo prestadas stablecoins para ‘retirar’ fondos… Esto es una corrida bancaria total en AAVE”.
Aunque Stani Kulechov, fundador de Aave, dijo que el exploit fue externo y que los contratos del protocolo no se vieron comprometidos, los depositantes entraron en pánico. El valor total bloqueado (o depósitos) cayó de 26,400 millones de dólares el 18 de abril a casi 20,000 millones de dólares en las horas de la mañana del domingo en EE. UU., según DefiLlama. El token AAVE también cayó más del 18% mientras los depositantes se apresuraban a retirar su dinero durante el fin de semana.
El exploit en sí se ha convertido en un punto de enfoque para ingenieros y desarrolladores.
Varios desarrolladores rechazaron las suposiciones iniciales de que el problema provenía de la infraestructura central. “El exploit de KelpDAO (~$290M) NO es un error del protocolo LayerZero. Es un problema de configuración y un caso de estudio que todo proyecto con un token cross-chain necesita analizar hoy mismo”, decía un desglose técnico de cryptogoblin.
El hilo detalló cómo un solo punto de verificación permitió el ataque. “Una firma y 116,500 rsETH se materializaron de la nada en Ethereum”, decía la publicación, describiendo un sistema donde “los contratos [inteligentes] no estaban rotos. La capa de verificación sí lo estaba”, afirmó el post.
Otros argumentaron que el problema es más profundo que una simple elección de configuración.
Una crítica, realizada por Fishy Catfish en X, lo planteó como una falla de diseño, alegando que: “no hay un piso de seguridad… Una configuración puede ser un DVN 1/1 y el DVN que elegiste puede ser un solo nodo operado por una sola entidad”. Un DVN (Red de Verificadores Descentralizada) en DeFi, específicamente dentro de LayerZero V2, es una entidad independiente responsable de validar y dar fe de la autenticidad de los mensajes enviados a través de diferentes redes blockchain. Básicamente, los DVN verifican los hashes de los mensajes entre una cadena de origen y una cadena de destino.
Para aclarar el punto, el autor hizo una comparación con el mundo real: “imaginen si un fabricante de montañas rusas permitiera que los parques de diversiones decidieran individualmente cuáles eran las especificaciones mínimas de seguridad”. En esencia, el autor simplemente dice que la flexibilidad sin barandillas de seguridad puede crear riesgos ocultos.
La publicación llegó a afirmar que la configuración era el problema dentro del diseño. "Personalmente, creo que este es un diseño defectuoso. La seguridad modular es un espacio de diseño valioso; sin embargo, el rango de seguridad debería tener un piso de seguridad nativo que sea bastante sólido, y luego permitir capas adicionales de seguridad encima de eso para casos de uso de mayor valor".
No es solo la cantidad y la complejidad del exploit lo que provocó las críticas duras y de pánico. La escala del exploit ha aumentado las preocupaciones.
Aproximadamente 116,500 rsETH, cerca del 18% del suministro, se vio afectado. El atacante engañó a la capa de mensajería cross-chain de LayerZero para que creyera que había llegado una instrucción válida desde otra red, lo que activó el puente de Kelp para liberar 116,500 rsETH a una dirección controlada por el atacante.
Los protocolos respondieron congelando los mercados y pausando funciones. Aave detuvo la actividad de rsETH. Lido pausó los depósitos vinculados al activo. Otros proyectos tomaron medidas similares para limitar la exposición a medida que se desarrollaba la situación.
Más allá del debate técnico, el sentimiento en todo el ecosistema cripto se volvió marcadamente negativo. Una publicación quizás capturó el cambio de humor en términos contundentes: “DeFi está muerto… ‘solo usa Aave’ está muerto”, y agregó que “La era de las cripto ha terminado” y preguntó: “Si estás leyendo esto, ¿por qué sigues en cripto?”.
Aunque la respuesta puede sonar como una exageración, ese tipo de reacción instintiva no es inusual después de grandes exploits, pero la amplitud de este evento destaca.
El ataque afectó simultáneamente la infraestructura cross-chain, los modelos de restaking y los mercados de préstamos. También sigue a una serie de incidentes recientes. El hackeo ocurre en un tramo inusualmente hostil para DeFi, particularmente este mes. El protocolo de perpetuos basado en Solana, Drift, fue drenado de unos 285 millones de dólares el 1 de abril en un ataque vinculado posteriormente a actores afiliados a Corea del Norte, y al menos una docena de protocolos más pequeños han sido explotados en las semanas posteriores, incluidos CoW Swap, Zerion, Rhea Finance y Silo Finance.
A pesar de todas las explicaciones, todavía hay más preguntas que respuestas.
Incluso LayerZero sigue tratando de descifrar los detalles completos del exploit. "Estamos plenamente conscientes del exploit de rsETH y hemos estado en remediación activa con el equipo de @KelpDAO desde el incidente y continuamos monitoreando. Todas las demás aplicaciones permanecen seguras", dijo en una publicación en X. "Todavía estamos identificando la causa raíz junto con @_SEAL_Org y otros. Publicaremos un post-mortem completo con @KelpDAO tan pronto como tengamos toda la información".
KelpDAO se hizo eco de este sentimiento. "Hoy temprano identificamos actividad sospechosa cross-chain que involucraba a rsETH. Hemos pausado los contratos de rsETH en la red principal y en varias L2 mientras investigamos. Estamos trabajando con @LayerZero_Core, @unichain, nuestros auditores y los mejores expertos en seguridad en el análisis de causa raíz (RCA). Los mantendremos informados a medida que sepamos más sobre esta situación".
Aun así, algunos desarrolladores ven una lección más clara en el caos.
El exploit no se basó en romper el cifrado o eludir contratos inteligentes. En cambio, expuso lo frágiles que pueden volverse los sistemas cuando dependen de suposiciones en capas.
En términos simples, las herramientas funcionaron como fueron diseñadas. La forma en que fueron configuradas no.
Esa distinción puede dar forma a lo que venga después. Los constructores ahora instan a los proyectos a revisar sus configuraciones, especialmente aquellos que dependen de la mensajería cross-chain.
Como dijo cryptogoblin sin rodeos: “Revisen sus configuraciones. Manténganse seguros allá afuera”.
Leer más: Los rendimientos de DeFi están cayendo tanto que no pueden competir con una cuenta de ahorros tradicional
Más para ti:
Las probabilidades favorecen un ascenso demócrata en el Congreso el próximo año, cuando los legisladores que han comenzado a perseguir a firmas como Kalshi y Polymarket podrían tener un mayor peso.
Lo que hay que saber: