Puntos Clave de la Noticia:
- El puente rsETH de KelpDAO sufrió un exploit el 18 de abril, resultando en la pérdida de aproximadamente 116,500 rsETH, valorados en unos 293 millones de dólares.
- David Schwartz, CTO de Ripple, vinculó el ataque a configuraciones de seguridad débiles (modelo 1-de-1) elegidas por conveniencia operativa sobre las protecciones robustas disponibles.
- Justin Sun, fundador de Tron, apeló públicamente al hacker para negociar un acuerdo, argumentando la imposibilidad de gastar una suma tan masiva en un entorno rastreado.
Tras el mayor exploit de 2026, el protocolo liquid restaking KelpDAO atraviesa una profunda crisis. perdiendo más de $293 millones por la vulnerabilidad en su puente con LayerZero. El evento provocó una reacción en cadena, forzando a Aave a congelar mercados luego de acumular deuda incobrable, mientras figuras prominentes de la industria como David Schwartz y Justin Sun intervienen públicamente.
I evaluated a lot of DeFi bridging systems for use by RLUSD. I was almost exclusively focused on the security and risk aspect. One thing I noticed is that most schemes were very well designed and had really strong mechanisms available to protect against exactly the type of attack…
— David 'JoelKatz' Schwartz (@JoelKatz) April 20, 2026
Técnicamente, el ataque explotó una configuración de verificación de «uno de uno» en el puente, un punto único de falla que permitió la validación de mensajes forjados. Antes de la congelación, el atacante utilizó el rsETH robado como colateral en Aave v3 para tomar préstamos masivos en wETH, elevando los riesgos sistémicos. Actualmente, el TVL de KelpDAO, que rondaba los $1.5 mil millones, y los mercados de Aave se encuentran bajo severa presión.
Fallas de seguridad y llamados a la negociación
El CTO de Ripple, David Schwartz, hizo duras críticas a las decisiones de infraestructura, sugiriendo que KelpDAO priorizó la facilidad de implementación y la expansión rápida sobre la seguridad al no utilizar características clave de LayerZero. Schwartz, quien evalúa sistemas para la stablecoin RLUSD, enfatizó que el problema a menudo no es la falta de herramientas de seguridad, sino la promoción de configuraciones simplificadas que reducen costos operativos pero aumentan riesgos dramáticamente.
Al mismo tiempo, Justin Sun intentó ser diplomático a través de su cuenta en X. El ejecutivo instó al hacker a llegar a un acuerdo con KelpDAO y así evitar daños colaterales a la plataforma y a Aave, recordándole las dificultades prácticas de blanquear $300 millones en la actualidad. Mientras tanto, KelpDAO suspendió todas sus funciones de gobernanza multisig, oráculos y operaciones de tokens en la mainnet y Layer-2.
OK — Kelpdao hacker, how much you want? Let’s just talk. With KelpDAO’s help, of course. It’s simply not worth it to sacrifice both Aave and KelpDAO and let them go down over this hack. You can’t spend $300 million anyway.
— H.E. Justin Sun 👨🚀 🌞 (@justinsuntron) April 19, 2026
En medio de esta crisis, la comunidad cripto debate intensamente sobre la responsabilidad en el diseño de puentes seguros, con sospechas emergentes de que el ataque podría haber sido un trabajo interno dada la advertencia previa sobre la falla de seguridad 15 meses antes. El exploit de KelpDAO subraya los riesgos persistentes en la infraestructura cross-chain y la tensión entre crecimiento rápido y seguridad robusta en DeFi.
