Recientemente, un grave fallo de seguridad ha salido a la luz en el ecosistema DeFi, revisé algunos datos relacionados y el alcance del evento es más amplio de lo que imaginaba.

El puente entre cadenas de Kelp DAO fue atacado por hackers a mediados de abril, con pérdidas que alcanzaron entre 292 y 294 millones de dólares, siendo el evento de seguridad más grande en el ámbito DeFi de este año. Los hackers, mediante la falsificación de mensajes entre cadenas, robaron de una sola vez 116,500 rsETH, y posteriormente intentaron mover otros 80,000, pero fueron detenidos a tiempo por Kelp DAO y la suspensión del contrato.

Lo que preocupa aún más es que este ataque desencadenó un efecto dominó. Los hackers usaron los rsETH robados como colateral en protocolos de préstamo como Aave, SparkLend y Fluid, prestando grandes cantidades de WETH y ETH. Una vez que rsETH fue marcado como activo con daño, estas plataformas enfrentaron inmediatamente enormes deudas incobrables. Aave reaccionó rápidamente, congelando los mercados de rsETH en V3 y V4, pero las pérdidas en otras plataformas ya eran inevitables.

El origen del problema radica en una vulnerabilidad en el puente entre cadenas construido por LayerZero. Los hackers primero usaron Tornado Cash para preparar fondos, permanecieron en silencio durante unas 10 horas antes de actuar, y aprovecharon la función lzReceive para explotar la vulnerabilidad. Curiosamente, el ataque ocurrió durante un período festivo, lo que hizo que la respuesta de las plataformas fuera generalmente más lenta, exponiendo las deficiencias en la gestión de emergencias en DeFi.

He notado que este incidente ilustra muy bien el riesgo de la estrategia de "bloques de construcción" —una vulnerabilidad en un solo puente entre cadenas puede afectar a todo el ecosistema en un instante. Los hackers ya han convertido aproximadamente 250 millones de dólares en tokens robados a ETH, y el flujo de fondos ya se puede rastrear en la cadena.

La respuesta de Kelp DAO fue relativamente oportuna, activando un mecanismo de emergencia en 46 minutos, suspendiendo los contratos de rsETH en la red principal de Ethereum y en varias cadenas L2, además de colaborar con LayerZero y empresas de auditoría de seguridad para investigar. Sin embargo, la liquidez entre cadenas ya ha sido gravemente afectada, y los wrapped tokens en varias cadenas están en dificultades.

Para quienes tienen fondos en plataformas DeFi en staking, la opción más inteligente ahora es retirar rápidamente el dinero a una billetera de custodia propia. Considerando que podrían suspenderse más plataformas en el futuro, actuar pronto es la mejor opción. Los equipos de investigación de seguridad siguen rastreando las direcciones de los hackers, y aún no hay una solución de compensación, por lo que todos deben estar atentos a los anuncios oficiales.