Un puente entre cadenas que contiene casi una quinta parte del suministro circulante de un token de ether re-apostado acaba de agotarse, y las consecuencias se están moviendo a través de DeFi más rápido de lo que Kelp DAO puede pausar los contratos.
un atacante drenó 116,500 rsETH (éter recomprado) de Kelp DAO Puente impulsado por LayerZero a las 17:35 UTC del sábado, con un valor aproximado de $292 millones a precios actuales y que representa aproximadamente el 18% del suministro circulante de 630.000 tokens de rsETH rastreado por CoinGecko.
LayerZero es una capa de mensajería entre cadenas, o la infraestructura que permite que diferentes cadenas de bloques se envíen instrucciones verificadas entre sí. Kelp DAO es un protocolo de recuperación líquida, que toma ETH depositado por el usuario, lo dirige a través de EigenLayer para obtener un rendimiento adicional además de las recompensas de apuesta estándar de Ethereum y emite rsETH como un recibo negociable.
El puente que se drenó contenía la reserva rsETH que respaldaba las versiones envueltas del token implementadas en más de otras 20 cadenas de bloques.
El atacante engañó a la capa de mensajería entre cadenas de LayerZero haciéndole creer que había llegado una instrucción válida de otra red, lo que provocó que el puente de Kelp liberara 116,500 rsETH a una dirección controlada por el atacante.
El pausador de emergencia multisig de Kelp congeló los contratos centrales del protocolo 46 minutos después del drenaje exitoso, a las 18:21 UTC. Dos intentos de seguimiento a las 18:26 UTC y a las 18:28 UTC revirtieron, cada uno con el mismo paquete LayerZero intentando otro drenaje de 40,000 rsETH por un valor aproximado de $100 millones.
rsETH se implementa en más de 20 redes, incluidas Base, Arbitrum, Linea, Blast, Mantle y Scroll, y el estándar OFT de LayerZero maneja el movimiento entre cadenas.
El rsETH mantenido en el puente era la reserva que respaldaba las versiones envueltas en cada cadena de bloques de capa 2, o redes que se ejecutan sobre Ethereum.
Con esa reserva agotada, los titulares de implementaciones que no son de Ethereum ahora enfrentan la pregunta de si sus tokens tienen algo debajo, lo que crea un ciclo de retroalimentación donde los canjes de pánico en los L2 presionan el suministro de Ethereum no afectado, lo que potencialmente obliga a Kelp a deshacer posiciones para recuperar posiciones para honrar los retiros.
La lista de contagios es larga y sigue creciendo.
Aave congeló los mercados rsETH en V3 y V4 en cuestión de horas, y el fundador Stani Kulechov afirmó que el exploit era externo y que los contratos de Aave no se vieron comprometidos. SparkLend y Fluid congelaron sus mercados rsETH.
AAVE cayó alrededor de un 10% a medida que el mercado valoraba las posibles deudas incobrables.
Lido Finance detuvo más depósitos en su producto ganarETH, que conlleva exposición a rsETH, al tiempo que aclaró que stETH y wstETH no se ven afectados y que el protocolo central de participación de Lido no está involucrado en el incidente.
Ethena detuvo temporalmente sus puentes OFT LayerZero desde la red principal de Ethereum como medida de precaución, diciendo que no tiene exposición a rsETH y sigue estando sobregarantizado en más del 101%. El emisor de la moneda estable dijo que la pausa duraría aproximadamente seis horas mientras se identifica la causa raíz.
Kelp, un producto bajo el paraguas de KernelDAO, reconoció el incidente en su primera publicación pública X a las 20:10 UTC, casi tres horas después del drenaje. El protocolo dijo que estaba investigando con LayerZero, Unichain, sus auditores y especialistas externos en seguridad. No ha revelado cómo el exploit pasó por alto la lógica de validación del puente.
Que rsETH mantenga su vinculación durante el fin de semana depende de la cantidad de flotación entre cadenas que intente canjear en ETH en Ethereum y de si Kelp puede recuperar alguna parte de los fondos robados antes de que el rastro de Tornado Cash se enfríe.
El hack aterriza en una racha inusualmente hostil para DeFi. El protocolo de perpetuas con sede en Solana, Drift, perdió alrededor de 285 millones de dólares el 1 de abril en un ataque posteriormente vinculado a actores afiliados a Corea del Norte, y al menos una docena de protocolos más pequeños han sido explotados en las semanas posteriores, incluidos CoW Swap, Zerion, Rhea Finance y Silo Finance.
La pérdida de 292 millones de dólares de Kelp es ahora el mayor exploit DeFi de 2026, superando a Drift por unos pocos millones de dólares.