Kelp DAO enfrenta una gran crisis de seguridad tras un aparente exploit en su puente cross‑chain rsETH, que drenó alrededor de 116 500 rsETH, equivalentes a aproximadamente 292 millones de dólares al momento del ataque. Según los informes y los datos on‑chain, el atacante parece haber utilizado la mensajería de LayerZero para activar la liberación de fondos del sistema de puentes de Kelp DAO. El incidente se propagó rápidamente en los mercados cripto porque rsETH se usa ampliamente en DeFi, especialmente como colateral en plataformas de préstamos.
El caso es importante porque rsETH es un token de restaking líquido. Eso significa que los usuarios depositan activos vinculados al staking de Ethereum y reciben un token que pueden mover, comerciar o usar en DeFi mientras mantienen exposición al staking. Kelp DAO creó rsETH para operar en múltiples blockchains, y allí surgió el riesgo. El estándar OFT (Omnichain Fungible Token) de LayerZero está diseñado para trasladar un token a través de muchas cadenas manteniendo un suministro compartido. Esto facilita el uso cross‑chain, pero también hace que la seguridad del puente sea central para la protección del token.
Los reportes indican que el primer drenaje exitoso ocurrió a las 17:35 UTC. Kelp DAO utilizó su multisig de pausa de emergencia unos 46 minutos después para congelar los contratos principales. Esa pausa parece haber bloqueado dos intentos posteriores de drenar otros 40 000 rsETH. Kelp dijo que había identificado actividad sospechosa cross‑chain y que estaba trabajando con LayerZero, Unichain, auditores y expertos externos en seguridad para investigar la causa raíz. En términos simples, el ataque parece haber afectado la lógica del puente que permite que rsETH se mueva entre redes, no una billetera normal o un simple error de front‑end.
El ataque también generó preocupación porque la cartera vinculada al exploit supuestamente recibió fondos a través de Tornado Cash antes del incidente. En los exploits de DeFi, eso suele indicar un intento de ocultar el rastro del dinero. El investigador de blockchain ZachXBT señaló el ataque poco después de que sucediera, y los observadores del mercado comenzaron a enfocarse en cuánto del suministro de rsETH había sido afectado. Los informes dijeron que la cantidad robada representaba alrededor del 18 % del rsETH circulante, suficiente para generar estrés en los mercados de préstamo, los feeds de precios y los sistemas de riesgo.
Por eso Aave actuó rápidamente. Aave congeló los mercados de rsETH en V3 y V4 y afirmó que sus propios contratos inteligentes no fueron la fuente del exploit. El problema mayor para Aave es la deuda incobrable. En el préstamo, la deuda incobrable puede aparecer cuando el colateral pierde valor o no puede liquidarse a tiempo. La documentación de Aave señala que el riesgo del puente y de la red puede alimentar este problema. Su sistema Umbrella fue creado como una herramienta automatizada on‑chain de gestión de riesgo destinada a ayudar a cubrir déficits, aunque Aave luego suavizó su redacción pública y dijo que exploraría formas de compensar cualquier déficit derivado de este evento.
Este tampoco es el primer problema con rsETH. Kelp DAO tuvo otro incidente en abril de 2025, cuando pausó depósitos y retiros tras un error en el contrato de tarifas que provocó una emisión excesiva de rsETH. Kelp afirmó que en ese caso no se perdieron fondos de usuarios, pero el nuevo exploit es mucho más grave porque parece involucrar una pérdida directa de fondos a gran escala. Esa historia importa. En cripto, un incidente puede considerarse un error. Dos incidentes en aproximadamente un año plantean preguntas más difíciles sobre diseño, pruebas y controles operativos.
La gran lección del exploit de Kelp DAO es que el riesgo de DeFi no se detiene en un solo protocolo. Un ataque al puente puede afectar a un token, luego propagarse a los mercados de préstamos y afectar a usuarios que nunca tocaron el puente. Ese es el costo oculto de la composabilidad. Sistemas como Kelp DAO, LayerZero y Aave están diseñados para conectar los mercados cripto, pero las conexiones fuertes también transmiten el estrés más rápido cuando algo falla. Para los usuarios, el exploit de Kelp DAO es un recordatorio de que el restaking líquido, los tokens cross‑chain y el rendimiento DeFi pueden ofrecer flexibilidad, pero también añaden capas de riesgo de contratos inteligentes, riesgo de puente y riesgo de colateral que pueden colapsar simultáneamente.
