Un sofisticado ataque cross-chain contra el protocolo DeFi KelpDAO ha derivado en el robo de aproximadamente 290 millones de dólares en tokens rsETH. Investigaciones preliminares apuntan a la posible participación del grupo norcoreano Lazarus, concretamente a su célula conocida como TraderTraitor. El incidente no solo golpea a KelpDAO, sino que expone vulnerabilidades estructurales en la infraestructura de verificación y en los puentes entre cadenas sobre los que se apoyan protocolos como Aave, Compound y Euler.
Qué es KelpDAO y rsETH: impacto del ataque en el restaking líquido y el mercado DeFi
KelpDAO es un protocolo DeFi centrado en el restaking líquido sobre Ethereum. Los usuarios depositan ETH, que se envía a restaking, y reciben a cambio el token derivado rsETH, que representa su participación en el staking. Este activo puede emplearse como colateral, en estrategias de yield farming y en distintos ecosistemas mediante puentes y soluciones cross-chain, entre ellos la infraestructura de LayerZero.
Según los primeros análisis on-chain, los atacantes lograron desviar en torno a 116.500 rsETH, valorados en 292–293 millones de dólares. Esta cifra representa cerca del 18 % del suministro circulante de rsETH, estimado en unos 630.000 tokens. El activo se encuentra desplegado en más de 20 redes —incluyendo Base, Arbitrum, Mantle y Scroll—, lo que amplifica el alcance del incidente y subraya el riesgo sistémico para todo el ecosistema de restaking líquido.
Detalles técnicos del ataque: explotación de la DVN y de nodos RPC en la infraestructura cross-chain
Compromiso de la Decentralized Verification Network (DVN) y manipulación de datos RPC
El vector principal del ataque se centró en la Decentralized Verification Network (DVN), capa encargada de validar los mensajes cross-chain vinculados a rsETH. En lugar de explotar directamente los contratos inteligentes, los atacantes se enfocaron en la infraestructura, comprometiendo varios nodos RPC desde los que la DVN obtenía el estado de la cadena.
Mediante la inyección de datos de blockchain falsificados en estos nodos RPC comprometidos, y paralelamente ejecutando una ataque DDoS contra los nodos sanos, los atacantes forzaron a la DVN a depender de fuentes “envenenadas”. Así consiguieron que se aceptara y validara un mensaje cross-chain fraudulento, permitiendo al protocolo tratar transacciones ficticias como legítimas y autorizar la retirada masiva de rsETH.
Trazabilidad de fondos y uso de Tornado Cash para el lavado de criptoactivos
Una vez extraídos los fondos, los responsables iniciaron procesos de blanqueo de capitales on-chain, canalizando los tokens robados a través de Tornado Cash. Este tipo de mezcladores fragmentan y mezclan los fondos de múltiples usuarios, dificultando el análisis de la trazabilidad y la recuperación de los activos sustraídos.
En la investigación participan equipos técnicos de LayerZero, Unichain, analistas independientes como ZachXBT y diversos grupos de inteligencia blockchain. La prioridad se centra en identificar patrones de movimiento, direcciones asociadas y potenciales puntos de salida hacia exchanges centralizados o servicios DeFi donde sea posible intervenir.
Posible implicación de Lazarus y TraderTraitor: patrones que apuntan a Corea del Norte
Los indicadores de compromiso analizados —infraestructura utilizada, comportamiento de las carteras, secuencia táctica de la operación— apuntan hacia el grupo Lazarus y su subdivisión TraderTraitor, vinculados históricamente a ataques de alto impacto contra exchanges y protocolos DeFi. Organismos internacionales y empresas de análisis han atribuido a Lazarus incidentes previos por cientos de millones de dólares, caracterizados por operaciones multietapa que combinan explotación de vulnerabilidades, ataques a la capa de infraestructura y técnicas avanzadas de evasión.
Los expertos destacan que el exploit afectó exclusivamente al mecanismo cross-chain de rsETH. El resto de contratos inteligentes y activos de la ecosistema no mostraron signos de compromiso directo, lo que refuerza la hipótesis de un ataque quirúrgico a la capa de verificación y a las fuentes de datos, más que a los protocolos de préstamo o a los pools de liquidez.
Respuesta de KelpDAO, Aave, Compound y Euler ante el ataque cross-chain
La actividad anómala asociada a rsETH se detectó el 18 de abril de 2026. En cuestión de horas, los equipos de KelpDAO y de los protocolos integrados reaccionaron pausando los contratos de rsETH tanto en la red principal de Ethereum como en diversas soluciones de capa 2, con el objetivo de contener el impacto y frenar nuevas operaciones no autorizadas.
El protocolo de préstamos Aave anunció la congelación de los mercados rsETH en sus versiones V3 y V4, bloqueando nuevos depósitos y préstamos respaldados por este activo. Tras conocerse la noticia, el token AAVE registró una caída cercana al 10 %. El equipo recalcó que la vulnerabilidad residía en la mecánica de rsETH y su infraestructura cross-chain, no en los contratos de Aave, y se comprometió a estudiar mecanismos para cubrir un posible déficit si finalmente se materializa.
Para KelpDAO, este es el segundo incidente relevante en un corto período. En abril de 2025, el proyecto se vio obligado a suspender temporalmente depósitos y retiradas por un bug en el contrato de comisiones que provocó minting excesivo de rsETH, aunque entonces los usuarios no sufrieron pérdidas directas. El nuevo ataque, sin embargo, plantea dudas sobre la madurez de sus procesos de seguridad y gobernanza técnica.
Lecciones de ciberseguridad para infraestructuras DeFi y puentes cross-chain
El caso KelpDAO refuerza una conclusión clave: la infraestructura cross-chain y la capa RPC se han convertido en puntos críticos de riesgo en DeFi. Un contrato inteligente puede estar auditado al máximo nivel, pero si la red de verificación se apoya en pocos proveedores de datos o nodos insuficientemente protegidos, el sistema sigue siendo vulnerable a la manipulación.
Para los protocolos que dependen de restaking líquido, oráculos y puentes cross-chain, resultan imprescindibles medidas como la validación multicapa (múltiples proveedores de datos independientes, pruebas criptográficas de estado, sistemas de detección de anomalías), el refuerzo de la protección frente a DDoS y la realización de auditorías periódicas de infraestructura, no solo de código. A nivel de usuario, es recomendable diversificar riesgos, evitar concentrar grandes volúmenes en un único derivado, seguir de cerca los avisos de seguridad y revisar de forma continua la propia estrategia de gestión de riesgo.
Los ataques como el sufrido por KelpDAO confirman que la seguridad en DeFi ya no se limita al smart contract, sino que abarca toda la cadena de suministro tecnológica: desde los nodos RPC hasta los mecanismos de verificación cross-chain. Fortalecer esa cadena, exigir transparencia a los protocolos y adoptar prácticas de gestión de riesgos más prudentes será determinante para que el ecosistema pueda seguir creciendo sin convertirse en un objetivo fácil para actores avanzados como Lazarus y otros grupos de amenaza estatales y criminales.
