# rsETHAttackUpdate

#rsETHAttackUpdate : Análisis técnico del mayor ataque entre cadenas de DeFi
El 18 de abril de 2026, el protocolo rsETH de KelpDAO sufrió una explotación de $292 millones de dólares( a través de su puente LayerZero, marcando una de las fallas de seguridad más significativas en DeFi. Este informe examina los vectores de ataque, los efectos en cascada y las vulnerabilidades estructurales expuestas.
Resumen del ataque
El atacante acuñó 116,500 tokens rsETH no respaldados )el 18% del suministro total( comprometiendo la infraestructura entre cadenas de KelpDAO. La explotación se dirigió a una debilidad arquitectónica crítica: el puente de KelpDAO operaba con una configuración de red de validadores descentralizados 1-de-1 )Red de Validadores Descentralizada(, haciendo que LayerZero Labs fuera la única entidad de verificación para los mensajes entre cadenas.
Ejecución técnica
El ataque siguió un enfoque sofisticado en varias fases:
1. Penetración de infraestructura: Los atacantes accedieron a los nodos RPC utilizados por la DVN de LayerZero, reemplazando los binarios legítimos de op-geth por versiones maliciosas que servían datos falsificados exclusivamente a las direcciones IP de la DVN.
2. Manipulación del tráfico: A través de ataques DDoS en nodos limpios, los atacantes forzaron una conmutación total a infraestructura comprometida, asegurando que todo el tráfico de verificación pasara por puntos finales envenenados.
3. Falsificación de mensajes: Se fabricó un mensaje entre cadenas que afirmaba originarse del despliegue de Unichain de KelpDAO, y fue validado contra un estado en cadena manipulado, aprobando el quórum multisig 2-de-3.
4. Extracción de tokens: El puente liberó 116,500 rsETH a direcciones controladas por el atacante en una sola transacción, creando tokens no respaldados sin colateral subyacente.
El análisis de atribución apunta al Grupo Lazarus de Corea del Norte )TraderTraitor$7 , conocido por exploits avanzados en criptomonedas dirigidos a infraestructura financiera.
Efectos en cascada financieros
El atacante desplegó inmediatamente rsETH no respaldado como colateral en los mercados Aave V3 y V4:
- Tomó prestados 52,834 WETH en la red principal de Ethereum
- Tomó prestados 29,782 WETH más 821 wstETH en Arbitrum
- Extracción total: aproximadamente 83,427 WETH y wstETH Esto generó una deuda incobrable significativa en los mercados de préstamos de Aave. El protocolo respondió en horas congelando los mercados de rsETH y eliminando el poder de préstamo, pero el daño se extendió en DeFi:
- Más de (mil millones retirados de los principales protocolos
- Aave perdió 6.2 mil millones de dólares )el 23% del TVL(
- Flujos similares afectaron a Morpho, Sky y Jupiter Lend
- Retiradas de pánico afectaron incluso a protocolos no afectados en Solana Respuestas de emergencia
Varios protocolos y redes implementaron medidas de control de daños:
- KelpDAO pausó los contratos de rsETH en mainnet y L2s
- Arbitrum congeló 30,000 ETH $71 )millón$344 vinculados a direcciones de explotación
- Tether congeló #rsETHExploit millón USDT en dos carteras de Tron
- La comunidad de Aave inició discusiones sobre la eliminación permanente de rsETH Vulnerabilidades estructurales expuestas
El exploit revela debilidades fundamentales en la arquitectura entre cadenas de DeFi:
Validación centralizada: A pesar del marketing de descentralización, los puentes a menudo dependen de una verificación concentrada. La configuración 1-de-1 de la DVN creó un punto único de fallo catastrófico.
Fallos en los límites de confianza: El exploit ocurrió en la verificación de mensajes de LayerZero y en la intersección de aceptación del puente de KelpDAO, demostrando cómo la seguridad modular sin estándares robustos genera riesgos sistémicos.
Amplificación de la composabilidad: Los atacantes aprovecharon tokens no respaldados en múltiples protocolos, mostrando cómo la naturaleza interconectada de DeFi magnifica las fallas individuales.
Brecha en la gobernanza: DeFi opera donde la descentralización teórica oculta una concentración práctica de control, complicando la responsabilidad y la respuesta ante emergencias.
Implicaciones para la industria
Este incidente tiene consecuencias importantes para el desarrollo de DeFi:
Estándares de seguridad: Los puentes entre cadenas requieren mecanismos de validación distribuidos y eliminación de puntos únicos de fallo. La industria debe establecer estándares mínimos de seguridad para la arquitectura de los puentes.
Evaluación de riesgos: Los protocolos de préstamo necesitan verificación en tiempo real del colateral y evaluaciones más estrictas del respaldo de los activos bridged antes de aceptar depósitos.
Protocolos de emergencia: La capacidad de congelar rápidamente los mercados es esencial, pero las medidas reactivas no pueden sustituir una arquitectura de seguridad preventiva.
Supervisión regulatoria: Exploits de esta escala aceleran la atención regulatoria y la presión de cumplimiento en los protocolos de DeFi.
Desafíos contables: Los auditores enfrentan dificultades fundamentales para evaluar la efectividad del control cuando la validación depende de infraestructura fuera de cadena potencialmente comprometida.
Lecciones clave
Para desarrolladores y participantes:
1. La arquitectura de seguridad del puente exige validación distribuida con múltiples firmas, no verificación por una sola entidad.
2. El respaldo de colateral debe ser verificable en tiempo real, especialmente para activos entre cadenas.
3. La composabilidad del protocolo crea riesgos sistémicos que requieren una evaluación de seguridad integral.
4. Las capacidades de respuesta ante emergencias deben equilibrarse con medidas preventivas de seguridad.
5. La diligencia debida en la seguridad de la infraestructura subyacente es esencial antes de depositar fondos.
Conclusión
El exploit de rsETH demuestra que en DeFi, el diseño del puente determina inseparablemente la seguridad del activo. La distribución entre cadenas no distribuye automáticamente el riesgo. Este incidente expone la tensión entre la escalabilidad rápida y una arquitectura de seguridad robusta que define la evolución actual de DeFi.
La verdad fundamental que revela el ataque es que la gobernanza descentralizada en teoría a menudo oculta un control concentrado en la práctica. Para que DeFi logre una infraestructura financiera resiliente, la industria debe abordar estas vulnerabilidades arquitectónicas mediante estándares más fuertes, mecanismos de validación distribuidos y protocolos que prioricen la seguridad sobre la velocidad de despliegue.
Los efectos en cascada en Aave y otros protocolos muestran lo rápidamente que las fallas individuales en los puentes se convierten en crisis sistémicas. A medida que DeFi madura, la seguridad entre cadenas debe evolucionar de una consideración secundaria a un principio de diseño fundamental.
La atribución preliminar a actores patrocinados por estados añade una dimensión geopolítica a los desafíos de seguridad en DeFi. La sofisticación demostrada sugiere que futuros ataques podrían aumentar en complejidad e impacto, haciendo que la inversión proactiva en seguridad sea esencial para la supervivencia del protocolo.
Este incidente probablemente acelerará el desarrollo de soluciones entre cadenas más resistentes, al tiempo que impulsará una reevaluación integral del riesgo asociado a los puentes en todo el ecosistema DeFi. La pregunta ya no es si los puentes pueden asegurarse, sino si la industria puede implementar estándares de seguridad adecuados antes de que ocurra la próxima explotación.
#DeFiSecurity #CrossChainRisk #KelpDAOHack

#加密市场行情震荡rsETH ACTUALIZACIÓN DEL ATAQUE CÓMO UN SOLO MENSAJE FALSIFICADO PARTIÓ $10 MIL MILLONES EN DEFI
EL ATAQUE QUE CAMBIÓ DE FORMA DEFINITIVA EL DEFI
Exactamente a las 17:35 UTC del 18 de abril de 2026, un solo mensaje falsificado entre cadenas desencadenó la mayor explotación de DeFi del año. El puente rsETH de KelpDAO, impulsado por LayerZero, fue drenado de 116,500 rsETH aproximadamente $292 millones en cuestión de minutos. No se rompió ningún contrato inteligente. No se explotó ningún código Solidity. Todo el ataque ocurrió en la capa invisible entre blockchains, en la infraestructura de verificación fuera de la cadena en la que DeFi ha dependido silenciosamente sin entender completamente su vulnerabilidad. Cuando el polvo se asentó 24 horas después, el valor total bloqueado en DeFi se desplomó de $99.5 mil millones a $85.21 mil millones, una destrucción de valor de $14 mil millones por un solo exploit. Esta es la actualización del ataque a rsETH que cada participante de DeFi debe entender completamente.
QUÉ ES KELPDAO Y POR QUÉ IMPORTÓ
KelpDAO es un protocolo de restaking líquido construido sobre Ethereum y EigenLayer. Los usuarios depositan ETH, el protocolo lo enruta a través de la infraestructura de restaking de EigenLayer para obtener rendimiento adicional además de las recompensas de staking estándar, y emite rsETH, un token de recibo negociable que representa la posición en restaking más las recompensas acumuladas. Para abril de 2026, rsETH había superado $1 mil millones en valor total bloqueado y se integraba como colateral en la mayoría de los principales mercados de préstamos y plataformas de rendimiento en DeFi. rsETH estaba activo en más de 20 redes blockchain, incluyendo Arbitrum, Base, Linea, Mantle, Blast y Scroll, usando el estándar OFT de LayerZero para moverse entre cadenas. El puente que fue drenado contenía las reservas que respaldaban cada uno de esos tokens rsETH envueltos en todas las implementaciones Layer 2. Cuando ese puente fue vaciado, el 18% de toda la oferta circulante de rsETH quedó sin respaldo simultáneamente en más de 20 cadenas.
CÓMO SE EJECUTÓ EL ATAQUE, DESGLOSE TÉCNICO
El ataque no fue un hackeo de contrato inteligente. Cada transacción en la cadena parecía completamente válida. Se verificaron las firmas. Los mensajes estaban correctamente formateados. La explotación fue contra la capa de infraestructura fuera de la cadena — específicamente la Red de Verificadores Descentralizados de LayerZero, el sistema que confirma si los mensajes entre cadenas son legítimos antes de que la cadena de destino actúe sobre ellos.
El puente rsETH de KelpDAO usaba una configuración DVN de 1-de-1. Esto significaba que solo una entidad, el DVN de LayerZero Labs, debía verificar y aprobar los mensajes entre cadenas. Sin segundo verificador, sin confirmación independiente, sin redundancia. Un verificador. Un punto de falla.
El Grupo Lazarus, la unidad de hacking patrocinada por el estado de Corea del Norte, identificó esta vulnerabilidad y ejecutó un ataque de infraestructura en tres partes. Primero, comprometieron dos nodos RPC internos que alimentaban datos de mercado al verificador de LayerZero, envenenando la fuente de datos con información falsa. Segundo, lanzaron un ataque DDoS contra los nodos de respaldo limpios, forzando al sistema a fallar en la conmutación por error a la infraestructura ya comprometida. Tercero, con el verificador ahora funcionando completamente en nodos envenenados, inyectaron un nonce falsificado de mensaje entre cadenas de LayerZero, 308, que indicaba al contrato puente de Ethereum que se había producido una quema válida en la cadena fuente, desencadenando la liberación de 116,500 rsETH a una cartera controlada por el atacante. Toda la operación utilizó carteras prefinanciadas obtenidas a través de Tornado Cash aproximadamente 10 horas antes del ataque, confirmando que fue una operación planificada a nivel estatal y no una explotación oportunista.
En minutos, el atacante depositó los rsETH robados como colateral en Aave y tomó prestado más de $236 millones en WETH contra ello, usando tokens no respaldados como colateral para un préstamo real. El robo de $292 millones se convirtió en una extracción de $236 millones en WETH antes de que la mayoría de los usuarios supieran que había ocurrido.
LA RESPUESTA DE 46 MINUTOS QUE SALVÓ $100 MILLONES
El equipo de respuesta de emergencia de KelpDAO identificó el ataque y activó el multisig de pausa de emergencia a las 18:21 UTC, exactamente 46 minutos después del drenaje inicial. La pausa en todo el protocolo congeló depósitos, retiros y el token rsETH en la red principal y en todas las implementaciones Layer 2. A las 18:26 UTC y 18:28 UTC, dos intentos de drenaje posteriores del atacante, cada uno apuntando a otros 40,000 rsETH por valor de aproximadamente $100 millones, fueron revertidos contra los contratos congelados. La ventana de respuesta de 46 minutos es la diferencia entre un exploit de $292 millones y una catástrofe de $492 millones. La acción rápida del equipo de emergencia de KelpDAO es la única razón por la que el daño no fue casi el doble.
LA CONTAGIO QUE SE PROPAGÓ POR DEFI
El daño en cascada se movió más rápido de lo que cualquier pausa de emergencia pudo contener. Aave, el mayor protocolo de préstamos en DeFi con más de $20 mil millones en valor total bloqueado, congeló los mercados de rsETH en V3 y V4 en pocas horas. La utilización de ETH en Aave alcanzó brevemente el 100% mientras los usuarios intentaban retirar. El token AAVE cayó aproximadamente entre un 10-20% a medida que los traders valoraban la posible exposición a deuda incobrable. SparkLend y Fluid también congelaron sus mercados de rsETH. Lido Finance pausó los depósitos en su producto earnETH debido a la exposición a rsETH. Ethena pausó temporalmente sus puentes OFT de LayerZero desde la red principal de Ethereum como medida de precaución. El TVL total en DeFi se desplomó de $99.5 mil millones a $85.21 mil millones en un solo día, $14 mil millones borrados de todo el ecosistema por un solo exploit en un puente.
El análisis del incidente de Aave encontró que el exploit creó colateral sin respaldo usado para tomar prestado aproximadamente $190 millones, dejando al protocolo enfrentando potenciales deudas incobrables entre $123 millones y $230 millones, dependiendo de cómo KelpDAO distribuya la deficiencia entre los titulares de rsETH.
LA ATRIBUCIÓN AL GRUPO LAZARUS
Esto no fue un hackeo aleatorio. LayerZero atribuyó formalmente el ataque al Grupo Lazarus de Corea del Norte, la misma unidad de hacking patrocinada por el estado vinculada al exploit $285 millón Drift del 1 de abril de 2026, y a docenas de robos criptográficos anteriores por miles de millones de dólares a lo largo de varios años. El Grupo Lazarus es la operación de hacking en criptomonedas más prolífica y técnicamente sofisticada del mundo, y su participación en dos de los tres mayores exploits de DeFi de 2026 en 18 días confirma una campaña sistemática y coordinada dirigida a la infraestructura de DeFi en la capa de infraestructura, no en la capa de contratos.
LA CONGELACIÓN DE EMERGENCIA DE ARBITRUM, INTERVENCIÓN SIN PRECEDENTES
El 21 de abril de 2026, tres días después del exploit, el Consejo de Seguridad de Arbitrum ejecutó la intervención de emergencia más significativa en la historia de Layer 2. El consejo de 12 miembros, operando bajo un multisig de 9 de 12, confiscó 30,766 ETH de la dirección del atacante en Arbitrum One y los transfirió a una cartera intermediaria congelada. La transferencia se completó a las 11:26 p.m. ET del 21 de abril. Esos fondos no pueden moverse nuevamente sin una votación formal de gobernanza de Arbitrum. La intervención recuperó aproximadamente $71.15 millones, alrededor del 29% del ETH que el atacante había acumulado en Arbitrum. Los 75,701 ETH restantes, valorados en aproximadamente $175 millones en la red principal de Ethereum, ya habían sido movidos y estaban siendo lavados a través de Thorchain y otras herramientas de privacidad antes de que se pudiera extender la congelación.
La congelación generó un debate inmediato sobre la descentralización. Si un consejo de 12 personas puede congelar activos en Arbitrum, ¿qué significa eso para la garantía de propiedad permissionless que promete Layer 2? Los partidarios lo calificaron como una defensa de DeFi contra el crimen patrocinado por el estado. Los críticos lo vieron como una prueba de que Arbitrum es, en última instancia, una cartera multisig con el poder de anular el control de los activos por parte del usuario.
LA GUERRA DE CULPAS ENTRE LAYERZERO Y KELPDAO
El período posterior al exploit produjo una disputa pública total entre LayerZero y KelpDAO sobre quién tiene la responsabilidad. LayerZero publicó un informe post-mortem afirmando que KelpDAO eligió una configuración DVN de 1-de-1 a pesar de las recomendaciones explícitas de adoptar redundancia de múltiples verificadores, y anunció que dejaría de firmar mensajes para cualquier aplicación que utilice una configuración de verificador único, forzando una migración general en todas las integraciones de LayerZero.
KelpDAO respondió, afirmando que la configuración 1-de-1 era la configuración predeterminada enviada por LayerZero para nuevos despliegues, que la propia documentación y el código de despliegue público de LayerZero promueven la verificación de fuente única, y que la infraestructura comprometida, los nodos RPC y los servidores DVN, fue construida y operada completamente por LayerZero, no por Kelp. Los investigadores de seguridad se posicionaron parcialmente con Kelp, con el destacado desarrollador banteg publicando una revisión técnica que confirmaba que el código de despliegue de referencia de LayerZero se envía con verificación de fuente única como predeterminada en las principales cadenas.
El resultado es un enfrentamiento de daño compartido sin una resolución clara. Ambas partes han prometido informes completos de causa raíz. La pregunta más profunda de si todas las demás aplicaciones OFT de 1-de-1 que actualmente corren en LayerZero están expuestas a la misma clase de ataque sigue sin respuesta.
QUÉ SIGNIFICA ESTO PARA EL DEFI EN EL FUTURO
El exploit de KelpDAO no es solo otro hackeo. Es un evento que define categoría y que expuso un punto ciego estructural en todo el ecosistema DeFi entre cadenas. El ataque pertenece a la misma familia histórica que las fallas de los puentes Ronin y Nomad, donde los puntos de verificación centralizados se convirtieron en objetivos de alto valor. Pero va más allá, porque los contratos en cadena nunca fueron tocados. Cada transacción en cadena fue válida. La falla estuvo en la infraestructura fuera de la cadena, invisible, que DeFi ha tratado como un problema resuelto durante años.
Las lecciones son claras e inmediatas. Las configuraciones de múltiples verificadores DVN son ahora innegociables para cualquier puente que maneje valor significativo. Las auditorías de configuración que revisen los ajustes de despliegue, no solo el código del contrato inteligente, deben convertirse en práctica estándar. La monitorización de invariantes entre cadenas, que verifique continuamente que los tokens liberados en las cadenas de destino coincidan con los tokens quemados en las cadenas fuente, es el nuevo mínimo para la seguridad de los puentes. Y la pregunta de cómo DeFi maneja operaciones de hacking patrocinadas por estados con los recursos y la paciencia de un gobierno nacional aún no tiene una respuesta clara.
El robo de $292 millones. La destrucción de TVL de $14 mil millones. La potencial deuda incobrable de $230 millones en Aave. Los 30,766 ETH congelados por Arbitrum. La atribución al Grupo Lazarus. Todo apunta a una conclusión: la capa de infraestructura de cross-chain en DeFi es la superficie más desprotegida en todo el ecosistema, y los hackers más sofisticados del mundo han identificado ese hecho y lo están explotando sistemáticamente.
El ataque a rsETH no es una advertencia. Es un veredicto. Corrige la infraestructura, o perderás todo lo que está encima de ella.
#rsETHAttackUpdate

#加密市场行情震荡rsETH ACTUALIZACIÓN DEL ATAQUE CÓMO UN SOLO MENSAJE FALSIFICADO PARTIÓ $10 MIL MILLONES EN DEFI
EL ATAQUE QUE CAMBIÓ DE FORMA DEFINITIVA EL DEFI
Exactamente a las 17:35 UTC del 18 de abril de 2026, un solo mensaje falsificado entre cadenas desencadenó la mayor explotación de DeFi del año. El puente rsETH de KelpDAO, impulsado por LayerZero, fue drenado de 116,500 rsETH aproximadamente $292 millones en cuestión de minutos. No se rompió ningún contrato inteligente. No se explotó ningún código Solidity. Todo el ataque ocurrió en la capa invisible entre blockchains, en la infraestructura de verificación fuera de la cadena en la que DeFi ha dependido silenciosamente sin entender completamente su vulnerabilidad. Cuando el polvo se asentó 24 horas después, el valor total bloqueado en DeFi se desplomó de $99.5 mil millones a $85.21 mil millones, una destrucción de valor de $14 mil millones por un solo exploit. Esta es la actualización del ataque a rsETH que cada participante de DeFi debe entender completamente.
QUÉ ES KELPDAO Y POR QUÉ IMPORTÓ
KelpDAO es un protocolo de restaking líquido construido sobre Ethereum y EigenLayer. Los usuarios depositan ETH, el protocolo lo enruta a través de la infraestructura de restaking de EigenLayer para obtener rendimiento adicional además de las recompensas de staking estándar, y emite rsETH, un token de recibo negociable que representa la posición en restaking más las recompensas acumuladas. Para abril de 2026, rsETH había superado $1 mil millones en valor total bloqueado y se integraba como colateral en la mayoría de los principales mercados de préstamos y plataformas de rendimiento en DeFi. rsETH estaba activo en más de 20 redes blockchain, incluyendo Arbitrum, Base, Linea, Mantle, Blast y Scroll, usando el estándar OFT de LayerZero para moverse entre cadenas. El puente que fue drenado contenía las reservas que respaldaban cada uno de esos tokens rsETH envueltos en todas las implementaciones Layer 2. Cuando ese puente fue vaciado, el 18% de toda la oferta circulante de rsETH quedó sin respaldo simultáneamente en más de 20 cadenas.
CÓMO SE EJECUTÓ EL ATAQUE, DESGLOSE TÉCNICO
El ataque no fue un hackeo de contrato inteligente. Cada transacción en la cadena parecía completamente válida. Se verificaron las firmas. Los mensajes estaban correctamente formateados. La explotación fue contra la capa de infraestructura fuera de la cadena — específicamente la Red de Verificadores Descentralizados de LayerZero, el sistema que confirma si los mensajes entre cadenas son legítimos antes de que la cadena de destino actúe sobre ellos.
El puente rsETH de KelpDAO usaba una configuración DVN de 1-de-1. Esto significaba que solo una entidad, el DVN de LayerZero Labs, debía verificar y aprobar los mensajes entre cadenas. Sin segundo verificador, sin confirmación independiente, sin redundancia. Un verificador. Un punto de falla.
El Grupo Lazarus, la unidad de hacking patrocinada por el estado de Corea del Norte, identificó esta vulnerabilidad y ejecutó un ataque de infraestructura en tres partes. Primero, comprometieron dos nodos RPC internos que alimentaban datos de mercado al verificador de LayerZero, envenenando la fuente de datos con información falsa. Segundo, lanzaron un ataque DDoS contra los nodos de respaldo limpios, forzando al sistema a fallar en la conmutación por error a la infraestructura ya comprometida. Tercero, con el verificador ahora funcionando completamente en nodos envenenados, inyectaron un nonce falsificado de mensaje entre cadenas de LayerZero, 308, que indicaba al contrato puente de Ethereum que se había producido una quema válida en la cadena fuente, desencadenando la liberación de 116,500 rsETH a una cartera controlada por el atacante. Toda la operación utilizó carteras prefinanciadas obtenidas a través de Tornado Cash aproximadamente 10 horas antes del ataque, confirmando que fue una operación planificada a nivel estatal y no una explotación oportunista.
En minutos, el atacante depositó los rsETH robados como colateral en Aave y tomó prestado más de $236 millones en WETH contra ello, usando tokens no respaldados como colateral para un préstamo real. El robo de $292 millones se convirtió en una extracción de $236 millones en WETH antes de que la mayoría de los usuarios supieran que había ocurrido.
LA RESPUESTA DE 46 MINUTOS QUE SALVÓ $100 MILLONES
El equipo de respuesta de emergencia de KelpDAO identificó el ataque y activó el multisig de pausa de emergencia a las 18:21 UTC, exactamente 46 minutos después del drenaje inicial. La pausa en todo el protocolo congeló depósitos, retiros y el token rsETH en la red principal y en todas las implementaciones Layer 2. A las 18:26 UTC y 18:28 UTC, dos intentos de drenaje posteriores del atacante, cada uno apuntando a otros 40,000 rsETH por valor de aproximadamente $100 millones, fueron revertidos contra los contratos congelados. La ventana de respuesta de 46 minutos es la diferencia entre un exploit de $292 millones y una catástrofe de $492 millones. La acción rápida del equipo de emergencia de KelpDAO es la única razón por la que el daño no fue casi el doble.
LA CONTAGIO QUE SE PROPAGÓ POR DEFI
El daño en cascada se movió más rápido de lo que cualquier pausa de emergencia pudo contener. Aave, el mayor protocolo de préstamos en DeFi con más de $20 mil millones en valor total bloqueado, congeló los mercados de rsETH en V3 y V4 en pocas horas. La utilización de ETH en Aave alcanzó brevemente el 100% mientras los usuarios intentaban retirar. El token AAVE cayó aproximadamente entre un 10-20% a medida que los traders valoraban la posible exposición a deuda incobrable. SparkLend y Fluid también congelaron sus mercados de rsETH. Lido Finance pausó los depósitos en su producto earnETH debido a la exposición a rsETH. Ethena pausó temporalmente sus puentes OFT de LayerZero desde la red principal de Ethereum como medida de precaución. El TVL total en DeFi se desplomó de $99.5 mil millones a $85.21 mil millones en un solo día, $14 mil millones borrados de todo el ecosistema por un solo exploit en un puente.
El análisis del incidente de Aave encontró que el exploit creó colateral sin respaldo usado para tomar prestado aproximadamente $190 millones, dejando al protocolo enfrentando potenciales deudas incobrables entre $123 millones y $230 millones, dependiendo de cómo KelpDAO distribuya la deficiencia entre los titulares de rsETH.
LA ATRIBUCIÓN AL GRUPO LAZARUS
Esto no fue un hackeo aleatorio. LayerZero atribuyó formalmente el ataque al Grupo Lazarus de Corea del Norte, la misma unidad de hacking patrocinada por el estado vinculada al exploit $285 millón Drift del 1 de abril de 2026, y a docenas de robos criptográficos anteriores por miles de millones de dólares a lo largo de varios años. El Grupo Lazarus es la operación de hacking en criptomonedas más prolífica y técnicamente sofisticada del mundo, y su participación en dos de los tres mayores exploits de DeFi de 2026 en 18 días confirma una campaña sistemática y coordinada dirigida a la infraestructura de DeFi en la capa de infraestructura, no en la capa de contratos.
LA CONGELACIÓN DE EMERGENCIA DE ARBITRUM, INTERVENCIÓN SIN PRECEDENTES
El 21 de abril de 2026, tres días después del exploit, el Consejo de Seguridad de Arbitrum ejecutó la intervención de emergencia más significativa en la historia de Layer 2. El consejo de 12 miembros, operando bajo un multisig de 9 de 12, confiscó 30,766 ETH de la dirección del atacante en Arbitrum One y los transfirió a una cartera intermediaria congelada. La transferencia se completó a las 11:26 p.m. ET del 21 de abril. Esos fondos no pueden moverse nuevamente sin una votación formal de gobernanza de Arbitrum. La intervención recuperó aproximadamente $71.15 millones, alrededor del 29% del ETH que el atacante había acumulado en Arbitrum. Los 75,701 ETH restantes, valorados en aproximadamente $175 millones en la red principal de Ethereum, ya habían sido movidos y estaban siendo lavados a través de Thorchain y otras herramientas de privacidad antes de que se pudiera extender la congelación.
La congelación generó un debate inmediato sobre la descentralización. Si un consejo de 12 personas puede congelar activos en Arbitrum, ¿qué significa eso para la garantía de propiedad permissionless que promete Layer 2? Los partidarios lo calificaron como una defensa de DeFi contra el crimen patrocinado por el estado. Los críticos lo vieron como una prueba de que Arbitrum es, en última instancia, una cartera multisig con el poder de anular el control de los activos por parte del usuario.
LA GUERRA DE CULPAS ENTRE LAYERZERO Y KELPDAO
El período posterior al exploit produjo una disputa pública total entre LayerZero y KelpDAO sobre quién tiene la responsabilidad. LayerZero publicó un informe post-mortem afirmando que KelpDAO eligió una configuración DVN de 1-de-1 a pesar de las recomendaciones explícitas de adoptar redundancia de múltiples verificadores, y anunció que dejaría de firmar mensajes para cualquier aplicación que utilice una configuración de verificador único, forzando una migración general en todas las integraciones de LayerZero.
KelpDAO respondió, afirmando que la configuración 1-de-1 era la configuración predeterminada enviada por LayerZero para nuevos despliegues, que la propia documentación y el código de despliegue público de LayerZero promueven la verificación de fuente única, y que la infraestructura comprometida, los nodos RPC y los servidores DVN, fue construida y operada completamente por LayerZero, no por Kelp. Los investigadores de seguridad se posicionaron parcialmente con Kelp, con el destacado desarrollador banteg publicando una revisión técnica que confirmaba que el código de despliegue de referencia de LayerZero se envía con verificación de fuente única como predeterminada en las principales cadenas.
El resultado es un enfrentamiento de daño compartido sin una resolución clara. Ambas partes han prometido informes completos de causa raíz. La pregunta más profunda de si todas las demás aplicaciones OFT de 1-de-1 que actualmente corren en LayerZero están expuestas a la misma clase de ataque sigue sin respuesta.
QUÉ SIGNIFICA ESTO PARA EL DEFI EN EL FUTURO
El exploit de KelpDAO no es solo otro hackeo. Es un evento que define categoría y que expuso un punto ciego estructural en todo el ecosistema DeFi entre cadenas. El ataque pertenece a la misma familia histórica que las fallas de los puentes Ronin y Nomad, donde los puntos de verificación centralizados se convirtieron en objetivos de alto valor. Pero va más allá, porque los contratos en cadena nunca fueron tocados. Cada transacción en cadena fue válida. La falla estuvo en la infraestructura fuera de la cadena, invisible, que DeFi ha tratado como un problema resuelto durante años.
Las lecciones son claras e inmediatas. Las configuraciones de múltiples verificadores DVN son ahora innegociables para cualquier puente que maneje valor significativo. Las auditorías de configuración que revisen los ajustes de despliegue, no solo el código del contrato inteligente, deben convertirse en práctica estándar. La monitorización de invariantes entre cadenas, que verifique continuamente que los tokens liberados en las cadenas de destino coincidan con los tokens quemados en las cadenas fuente, es el nuevo mínimo para la seguridad de los puentes. Y la pregunta de cómo DeFi maneja operaciones de hacking patrocinadas por estados con los recursos y la paciencia de un gobierno nacional aún no tiene una respuesta clara.
El robo de $292 millones. La destrucción de TVL de $14 mil millones. La potencial deuda incobrable de $230 millones en Aave. Los 30,766 ETH congelados por Arbitrum. La atribución al Grupo Lazarus. Todo apunta a una conclusión: la capa de infraestructura de cross-chain en DeFi es la superficie más desprotegida en todo el ecosistema, y los hackers más sofisticados del mundo han identificado ese hecho y lo están explotando sistemáticamente.
El ataque a rsETH no es una advertencia. Es un veredicto. Corrige la infraestructura, o perderás todo lo que está encima de ella.
#rsETHAttackUpdate

#rsETHAttackUpdate
🚨 La Exploitación de rsETH: Una $293M Llamada de Atención para la Infraestructura DeFi entre Cadenas
El reciente exploit dirigido al token de restaking líquido rsETH de KelpDAO ha surgido como una de las fallas de seguridad más significativas en DeFi en 2026, resultando en aproximadamente 293,7 millones de dólares en pérdidas y exponiendo riesgos estructurales profundos en las finanzas entre cadenas.
Este incidente no es solo un hack a nivel de protocolo — representa una falla sistémica en la seguridad de la infraestructura entre cadenas, particularmente en los mecanismos de puente y verificación que sustentan los ecosistemas DeFi modernos.
🔍 Visión General del Incidente
El 18 de abril de 2026, los atacantes explotaron una vulnerabilidad crítica en el sistema de puente impulsado por LayerZero de KelpDAO, drenando alrededor de 116,500 rsETH (~293 millones de dólares).
El ataque aprovechó una debilidad en la configuración de la Red de Verificadores Descentralizados (DVN), específicamente una configuración de verificación 1-de-1, que creó un punto único de fallo en la validación de mensajes entre cadenas.
Este fallo de diseño permitió a los atacantes falsificar datos de verificación e ejecutar transferencias no autorizadas entre cadenas, drenando finalmente una parte significativa del suministro circulante de rsETH.
⚙️ Cómo Funcionó la Exploitación
El ataque siguió una secuencia cuidadosamente estructurada:
Financiamiento a través de canales de privacidad (Tornado Cash)
Explotación de la función lzReceive de EndpointV2 de LayerZero
Inyección de datos de verificación falsificados del DVN
Extracción de rsETH entre varias redes
Una vez extraídos, los activos robados no quedaron inactivos. En cambio, se desplegaron activamente en mercados de préstamos como Aave, creando una crisis de liquidez y colateral en cascada.
💥 Contagio en los Mercados DeFi
El exploit se expandió rápidamente más allá de KelpDAO:
~89,567 rsETH depositados en protocolos de préstamo
~$190M en WETH prestado contra colateral no respaldado
Posiciones distribuidas en Ethereum y ecosistemas L2
Debido a que el colateral no estaba respaldado por ETH real, estas posiciones se volvieron estructuralmente no liquidables, introduciendo deuda incobrable permanente en los pools de préstamos DeFi.
📉 Exposición a la Deuda Incobrable de Aave
Evaluaciones internas de analistas del protocolo estiman:
$123M–$230M posible deuda incobrable
Escenarios de recorte de más del 15% en los mercados de rsETH
Pérdidas concentradas en ecosistemas L2 como Arbitrum, Base y Mantle
En simulaciones de peor caso, una mayor tensión del mercado podría activar una exposición adicional de más de $100 millones si los precios de ETH caen aún más.
Este evento ya ha obligado a congelaciones de emergencia y discusiones de gobernanza en los principales protocolos DeFi.
🧠 Fallos Estructurales Clave Identificados
1. Puente ≠ Solo Infraestructura
Los puentes entre cadenas ahora se prueban como vectores de riesgo de activos principales, no sistemas periféricos.
2. Riesgo de Composabilidad
Los protocolos DeFi funcionaron correctamente individualmente — pero la falla en la interacción a nivel sistémico causó la propagación del colapso.
3. Áreas Ciegas en la Infraestructura
El exploit evitó completamente los contratos inteligentes y apuntó a:
Nodos RPC
Capas de verificación DVN
Infraestructura de mensajería entre cadenas
⚖️ Respuesta de la Industria y Esfuerzos de Recuperación
El ecosistema DeFi respondió rápidamente:
Congelaciones de emergencia en el mercado en todos los protocolos de préstamo
Recuperación parcial de los activos robados (~40K rsETH)
Compromisos de recuperación de múltiples partes que suman aproximadamente 38,500 ETH
Propuestas de recuperación impulsadas por la gobernanza en marcha
Los principales contribuyentes incluyen a los principales actores de DeFi y proveedores de infraestructura, señalando una colaboración sin precedentes.
⚠️ Impacto en el Mercado
El exploit provocó:
Alta volatilidad en los precios de los tokens DeFi
Crisis temporal de liquidez en los pools de préstamo
Presión de depeg en rsETH en múltiples cadenas
Aumento del estrés en los mercados de préstamos de stablecoins
🧭 Qué Significa Esto para DeFi
Este incidente destaca un cambio fundamental en la comprensión del riesgo:
La seguridad en DeFi ya no se trata solo de auditorías de contratos inteligentes — ahora incluye:
Diseño de puentes entre cadenas
Integridad de las redes de verificación
Mapeo de dependencias de infraestructura
Riesgo de configuración predeterminada
Como señaló un analista:
“La mayoría de los protocolos están completamente expuestos en la capa de infraestructura.”
🔮 Conclusión Final
La explotación de rsETH no es simplemente una $293M pérdida — es una prueba de estrés de la arquitectura interconectada de DeFi.
Demuestra que:
El riesgo ya no está aislado por protocolo
El diseño entre cadenas aumenta la exposición sistémica
La seguridad de la infraestructura ahora es de misión crítica
El proceso de recuperación puede estabilizar temporalmente los mercados, pero las preguntas estructurales planteadas por este exploit darán forma a la próxima era del desarrollo de DeFi.
⚠️ Advertencia de Riesgo
Las inversiones en criptomonedas y DeFi implican alto riesgo y extrema volatilidad. El rendimiento pasado no garantiza resultados futuros. Siempre realiza investigaciones independientes y aplica una gestión de riesgos estricta.
Dragon Fly Official

#rsETHAttackUpdate 1. Visión general del incidente – Desglose completo
La explotación relacionada con rsETH no fue solo un pequeño fallo: expuso una debilidad central en el diseño de la infraestructura DeFi. Los atacantes identificaron una vulnerabilidad en el sistema de contratos inteligentes del protocolo y ejecutaron transacciones diseñadas para eludir las salvaguardas previstas.
En la mayoría de las explotaciones DeFi, el tiempo lo es todo. Aquí también, el atacante actuó durante una ventana en la que la liquidez era alta y los sistemas de monitoreo tenían un retraso en la reacción. Esto les permitió extraer el valor máximo antes de la intervención.
El incidente creó ondas de choque inmediatas en todo el ecosistema de reestaking, ya que rsETH está estrechamente ligado a estrategias de rendimiento basadas en Ethereum más amplias.
2. Qué representa rsETH en DeFi
rsETH forma parte de la revolución del reestaking, donde los usuarios toman ETH ya apostado y lo reutilizan para recompensas adicionales. Plataformas como KelpDAO están construyendo sistemas para maximizar la eficiencia del capital.
Este concepto está muy conectado con Ethereum, donde el staking ya es un componente importante de la seguridad de la red.
Sin embargo, el reestaking añade complejidad:
Múltiples capas de contratos inteligentes
Interdependencia entre protocolos
Aumento de la superficie de ataque
Por lo tanto, aunque los retornos son mayores, también lo es la exposición al riesgo.
3. Naturaleza técnica del ataque
Aunque los informes forenses completos aún puedan estar en curso, los primeros indicios sugieren una explotación multivector:
Un fallo en la lógica del contrato permitió retiros no deseados
Posible manipulación de precios de oráculos o retrasos en la actualización
Uso de préstamos flash o ciclos rápidos de liquidez
Los atacantes suelen probar los sistemas en silencio antes de ejecutar la explotación completa. Una vez confirmada, despliegan bots automatizados para drenar fondos en segundos.
Esto no fue aleatorio: fue calculado y preciso, mostrando un profundo entendimiento del protocolo.
4. Impacto inmediato en el mercado
La reacción fue rápida y emocional:
El precio de rsETH cayó drásticamente debido a ventas de pánico
Los proveedores de liquidez se apresuraron a retirar fondos
Los traders de DeFi cambiaron a activos más seguros
En los mercados de criptomonedas, la confianza se mueve más rápido que los fundamentos. Incluso los usuarios no afectados directamente comenzaron a salir de sus posiciones para evitar una posible contagio.
Esto causó un efecto dominó en los tokens de reestaking y proyectos DeFi relacionados.
5. Respuesta del equipo y del protocolo
La fase de respuesta es crítica en cualquier explotación. El equipo detrás de rsETH y plataformas asociadas tomó varias medidas de emergencia:
Se pausaron o restringieron los contratos inteligentes
Se activaron equipos de investigación interna
Se involucraron firmas externas de seguridad en blockchain
Se emitió comunicación pública para mantener la transparencia
Una respuesta rápida ayuda a reducir las pérdidas, pero lo más importante es que ayuda a preservar la confianza de la comunidad, que a menudo es más difícil de reconstruir que los fondos.
6. Por qué la seguridad en DeFi sigue siendo frágil
DeFi opera sin control centralizado, lo cual es su fortaleza, pero también su debilidad.
Los principales desafíos incluyen:
Los contratos inteligentes son inmutables una vez desplegados
Incluso el código auditado puede contener vulnerabilidades ocultas
Los atacantes evolucionan continuamente sus tácticas
A diferencia de las finanzas tradicionales, no existe un botón de “deshacer”. Una vez que se mueven los fondos, la recuperación se vuelve extremadamente difícil.
Por eso, la seguridad no es una tarea de una sola vez: es un proceso continuo.
7. Reacción del mercado en general
Más allá de rsETH, todo el mercado sintió el impacto:
Las narrativas de reestaking se debilitaron temporalmente
Aumentó la presión de venta en tokens DeFi
Fuga hacia la estabilidad (ETH, USDT, USDC)
Sin embargo, los inversores experimentados entienden un patrón:
Las explotaciones generan miedo a corto plazo, pero mejoras a largo plazo.
Los mercados a menudo reaccionan exageradamente al principio, luego se estabilizan a medida que emerge claridad.
8. Lecciones clave para los inversores
Este evento refuerza principios esenciales de inversión en criptomonedas:
Gestión de riesgos primero
Nunca asignar todos los fondos a un solo protocolo, especialmente a uno nuevo.
Entender el producto
Si un sistema es complejo (como el reestaking), conlleva riesgos ocultos mayores.
Seguir las señales de seguridad
Las auditorías, recompensas por errores y la transparencia del equipo importan más que el hype.
Mantenerse actualizado
En DeFi, la velocidad de la información puede proteger tu capital.
9. Perspectivas futuras para rsETH
La recuperación depende de tres factores:
Transparencia de la investigación
Planes de compensación o recuperación
Fortaleza de las mejoras de seguridad
Si se maneja correctamente, rsETH podría recuperar la confianza con el tiempo. Muchos protocolos exitosos en DeFi hoy han sobrevivido a explotaciones pasadas y han salido más fuertes.
Sin embargo, no abordar las causas raíz puede conducir a daños permanentes.
10. Reflexión final – La realidad del DeFi de alto rendimiento
El #rsETHAttackUpdate destaca una verdad fundamental:
Las recompensas más altas siempre vienen con mayor riesgo.
La evolución de DeFi, especialmente en sectores avanzados como el reestaking, seguirá atrayendo tanto innovación como atacantes.
El éxito en este espacio requiere:
Paciencia
Conciencia
Fuerte control de riesgos
Quienes entiendan tanto la oportunidad como el riesgo sobrevivirán y crecerán a largo plazo.
SHAININGMOON