La DAO de Kelp fue hackeada y perdió 293 millones de dólares.

El protocolo de re-apuesta líquida Kelp DAO fue víctima del mayor hackeo de DeFi de 2026. El atacante robó 116.500 $rsETH por un valor de 293 millones de dólares a través de una vulnerabilidad en el contrato OFT impulsado por LayerZero. En lugar de un simple intercambio, el hacker depositó instantáneamente los tokens robados en Aave (así como en Compound V3 y Euler) y pidió prestado WETH/ETH limpio por un valor de más de 236 millones de dólares.

Esto desencadenó una reacción en cadena. La creación de una enorme deuda incobrable (estimada entre 177 y 280 millones de dólares) en los pools de Aave provocó pánico entre los grandes inversores. Según Lookonchain, se retiraron más de 5400 millones de dólares en activos del protocolo en ETH. La utilización del pool de WETH alcanzó el 100%, el valor total bloqueado (TVL) de Aave se desplomó en más de 6000 millones de dólares (de más de 26 000 millones a unos 22 000 millones), y el token $AAVE se desplomó un 20% en 24 horas.

Cómo se desarrolló el hackeo

El ataque tuvo lugar a las 17:35 UTC mediante un mensaje falsificado entre cadenas en LayerZero (la función lzReceive). El atacante creó una instrucción falsa a partir de un contrato entre pares (presumiblemente en Unichain), lo que provocó que el adaptador OFT de Kelp DAO generara 116.500 rsETH (el 18% del suministro total en circulación) directamente desde el depósito en garantía sin ningún respaldo real.

No se trataba de un fallo clásico de contrato inteligente en Kelp, sino de una vulnerabilidad a nivel de puente que utilizaba la validación DVN 1 de 1.

El hacker nunca vendió el rsETH en DEX. En cambio, utilizó inmediatamente los tokens como garantía en múltiples protocolos de préstamos y retiró ETH real. En tan solo 46 minutos, Kelp DAO suspendió los contratos y se bloquearon con éxito dos intentos posteriores del hacker (por un valor aproximado de 200 millones de dólares).

Reacciones del protocolo

• Kelp DAO suspendió inmediatamente todos los contratos rsETH en la red principal de Ethereum y en todas las capas L2 (Arbitrum, Base, Scroll, etc.). Declaración oficial: «Estamos colaborando con LayerZero, auditores y expertos en seguridad para analizar la causa raíz del problema».
• Aave congeló todos los mercados de rsETH en las versiones V3 y V4. El fundador Stani Kulechov recalcó: «Aave en sí no fue hackeado; el problema radica en el uso de rsETH como garantía».
• SparkLend, Fluid y Upshift también introdujeron restricciones de emergencia.

Impacto en el mercado

• rsETH en L2s ahora enfrenta un grave riesgo de desvinculación, ya que el respaldo de la red principal está comprometido.
• En general, el TVL de DeFi cayó más de 10.000 millones de dólares debido al pánico generalizado.
• Este es ya el segundo hackeo multimillonario en un mes (después del ataque de 285 millones de dólares a Drift Protocol). Todo apunta a que 2026 batirá todos los récords de volumen de ataques en el sector DeFi.

El hacker ha comenzado a blanquear dinero a través de Tornado Cash. Actualmente, la recuperación de los activos parece improbable, aunque el fundador de Tron, Justin Sun, se ofreció públicamente a "conversar" con el atacante.