Nueve protocolos DeFi congelados tras una explotación de KelpDAO rsETH de 293 millones de dólares

• El atacante drena 116.500 ETH por un valor de 293 millones de dólares y luego deposita rsETH en Aave como garantía.
• Nueve protocolos congelan mercados como Aave, SparkLend y Euler simultáneamente.
• El multisig de KelpDAO tardó 46 minutos en congelar contratos sin declaración pública durante tres horas.

Un solo exploit en el puente cross-chain rsETH de KelpDAO ha congelado nueve protocolos DeFi principales, creado deudas incobrables en Aave y provocado ondas de choque en el sector de restaking líquido.

El atacante drenó 116.500 ETH, valorados en aproximadamente 293 millones de dólares, del puente de KelpDAO en una operación coordinada. En cuestión de minutos, el rsETH robado fue depositado en Aave como garantía para pedir prestado ETH, creando deudas incobrables que el protocolo ahora debe absorber. Las carteras del atacante se financiaron a través de Tornado Cash, el programa de privacidad, lo que indica una ejecución planificada y no un robo oportunista.

La multisig de emergencia de KelpDAO congeló los contratiempos centrales del protocolo 46 minutos después de que se completara el drenaje. El equipo no publicó ninguna declaración pública durante casi tres horas después de que comenzara el incidente.

La cascada que nadie quería

El único exploit impactó nueve protocolos simultáneamente:

• Aave V3 — congelado los mercados de rsETH, posible exposición a deudas incobrables
• SparkLend — los mercados se pausaron
• Lido Earn mediante la estrategia Mellow meta-vault — congelado
• Fluido — los mercados se pausaron
• Compuestos — mercados en pausa
• Euler — los mercados en pausa
• Upshift — pausado los refugios de ETH de Alto Crecimiento y Ganancia de Algas
• Fichas de Pendle PT y YT — afectadas
• Estrategias potentes — posiblemente también Yearn y LayerZero

La naturaleza interconectada de la infraestructura de restaking líquido de DeFi significaba que un activo comprometido se propagaba instantáneamente por todos los protocolos que aceptaban rsETH como garantía o se integraban con las bóvedas de KelpDAO.

Dónde están las cosas

Aave confirmó que rsETH en la mainnet de Ethereum sigue totalmente respaldado y que la exposición al incidente está limitada. Las reservas de WETH permanecen congeladas en Ethereum, Arbitrum, Base, Mantle y Linea mientras el equipo valida la información y evalúa las opciones de resolución.

Bitget confirmó que está monitorizando la situación de cerca y advirtió a los usuarios sobre una mayor volatilidad en tokens relacionados.

KelpDAO afirmó que está trabajando con LayerZero, Unichain, auditores y expertos en seguridad en un análisis de la causa raíz. La investigación sigue en curso.

Relacionado: Analista señala la sacusión del fin de semana y dice que 72.000 dólares podrían impulsar el potencial al alza de Bitcoin

La línea crítica que nadie puede cruzar

El fundador de OneKey, Yishi, expuso el marco de recuperación . Su lista de prioridades comienza negociando una recompensa del 10 al 15% con el atacante para recuperar la mayor parte de los fondos. Si eso falla, cree que el fondo del ecosistema LayerZero debería cubrir la mayoría de las pérdidas, dado su mayor nivel de recursos y su participación a largo plazo en la credibilidad de DeFi.

KelpDAO, que describió como la parte más débil en esta situación, debería compensar a los usuarios mediante tokens y reparto futuro de ingresos, o considerar vender todo el proyecto a LayerZero u otro adquirente. Pero una línea, argumentó, no puede cruzarse bajo ninguna circunstancia.

«Los depositantes de WETH no pueden aceptar un corte de pelo», dijo Yishi. Cualquier pérdida impuesta a los depositantes de WETH desencadenaría cascadas de revaloración simultáneamente en Morpho, Spark, Fluid y Euler, lo que efectivamente bloquearía todo el sector de tokens de reposición líquida y retrasaría DeFi en años.

Relacionado: Trump señala dudas sobre el alto el fuego, los mercados se vuelven volátiles