Arturo TrenardExplotación en Kelp Drena $293 Millones: Atacante Convierte Fondos a ETH y Provoca Congestión en DeFi
El protocolo de restaking líquido Kelp sufrió una explotación masiva este sábado, resultando en el robo de aproximadamente $293 millones. El atacante aprovechó una vulnerabilidad en el contrato puente de su token rsETH, según la firma de seguridad Cyvers. En respuesta, el equipo de Kelp pausó sus contratos y protocolos como Aave congelaron los mercados asociados al token afectado, evidenciando los riesgos de interdependencia en el ecosistema de finanzas descentralizadas (DeFi).
Detalles del Ataque y Respuesta Inmediata
Kelp identificó lo que describió como “actividad sospechosa cross-chain” relacionada con su token rsETH. A través de un comunicado en la red social X, la plataforma anunció la pausa de todos los contratos de rsETH tanto en la red principal de Ethereum como en varias redes de capa 2 (Layer-2s) para investigar el incidente.
Análisis Técnico y Magnitud del Robo
La firma de análisis de seguridad blockchain Cyvers proporcionó los detalles técnicos. Según su investigación, el vector de explotación fue un contrato específico: el “rsETH adapter bridge contract”. Los analistas de Cyvers rastrearon que la dirección del explotador había sido previamente financiada a través del servicio de mezcla de criptomonedas Tornado Cash. De los fondos robados, aproximadamente $250 millones ya fueron convertidos a Ether (ETH).
Impacto y Contagio en el Ecosistema DeFi
El impacto del ataque se extendió rápidamente más allá de Kelp. El protocolo de préstamos Aave anunció la congelación de los mercados de rsETH en sus versiones Aave V3 y Aave V4 como medida preventiva. Cyvers señaló que, en total, al menos nueve protocolos distintos tenían exposición al token rsETH y procedieron a congelar o pausar actividades relacionadas.
“Este es exactamente el tipo de incidente que resalta los riesgos de la composabilidad en DeFi”, declaró a Cointelegraph Deddy Lavid, CEO de Cyvers, refiriéndose a la capacidad de los protocolos para interactuar e integrarse entre sí, lo que puede propagar vulnerabilidades.
Contexto de un Trimestre Costoso en Ciberseguridad
La explotación de Kelp se enmarca en un primer trimestre de 2026 particularmente adverso para la seguridad en el sector. Las pérdidas totales atribuidas a hacks y estafas en este período ascendieron a unos $482 millones.
Otro Hackeo Relevante: El Caso de Drift Protocol
Este incidente sigue a otro ataque de gran magnitud ocurrido recientemente. En abril de 2026, el exchange descentralizado Drift Protocol fue explotado, con pérdidas estimadas en $280 millones. El equipo de Drift atribuyó el ataque a una sofisticada operación de infiltración que duró meses, llevada a cabo por hackers presuntamente afiliados al estado norcoreano.