Bloomberg — Los piratas informáticos explotaron un puente entre cadenas el sábado, drenando casi US$300 millones de una pieza clave de la infraestructura financiera descentralizada y desencadenando un efecto dominó en múltiples plataformas de criptomonedas.
El atacante desvió unos 116.500 rsETH -un token emitido por Kelp DAO que representa Ether “restablecido”- atacando un puente construido utilizando LayerZero, un sistema que permite que diferentes blockchains se comuniquen. Las pérdidas totales se estiman en unos US$293 millones, lo que lo convierte en el mayor ataque DeFi de 2026.
“Hemos identificado una actividad sospechosa entre cadenas que implica a rsETH”, dijo Kelp DAO en un post en X. “Hemos puesto en pausa los contratos de rsETH en mainnet y en varias L2 mientras investigamos”.
Kelp DAO es un protocolo de reaprovisionamiento que permite a los usuarios depositar tokens de reaprovisionamiento populares como stETH o cbETH y recibir rsETH a cambio, que luego pueden utilizarse en otras criptoaplicaciones sin dejar de obtener recompensas. Esta flexibilidad ha ayudado al rsETH a extenderse ampliamente a través de plataformas descentralizadas de préstamo, comercio y liquidez.
Esa misma interconexión convirtió rápidamente la brecha en un problema de mercado más amplio.
“Esto no fue solo un ataque de protocolo, se convirtió inmediatamente en un evento de contagio entre protocolos”, dijo la firma de seguridad Cyvers, estimando que al menos otras nueve plataformas se vieron afectadas.
En términos sencillos, los protocolos DeFi suelen apilarse unos sobre otros. Los activos como el rsETH se reutilizan en múltiples servicios, por ejemplo, como garantía para préstamos o como liquidez en pools de negociación. Cuando una pieza falla, puede socavar todos los lugares en los que se utiliza ese activo.
Ver más: ¿Invertir en criptomonedas como bitcoin? El enfoque que proponen analistas para este trimestre
“Este es exactamente el tipo de incidente que pone de relieve los riesgos” de los sistemas interconectados en DeFi, afirmó Deddy Lavid, director ejecutivo de Cyvers. “El reto ya no es solo prevenir los ataques a nivel de contrato, sino comprender lo rápido que pueden propagarse en cascada a través de los protocolos integrados”.
Aave, el mayor protocolo de préstamo DeFi con más de US$20.000 millones en activos bloqueados, congeló los mercados relacionados con rsETH para contener los daños.
“La congelación de los mercados de rsETH impide nuevos depósitos y préstamos contra garantías de rsETH mientras se evalúa la situación”, dijo la plataforma. Su token bajó un 20% durante las horas de negociación asiáticas del domingo, según Coingecko.
Ver más: Transfero, de Brasil, lanza red de pagos y apuesta por integrar múltiples blockchains
El director de tecnología de Cyvers, Meir Dolev, dijo que la situación podría haber sido peor. El protocolo estuvo “a solo tres minutos de perder otros US$100 millones”, dijo, con una rápida lista negra que bloqueó un segundo intento del atacante.
El hackeo supera a una brecha anterior del proyecto Drift, con sede en Solana, como el mayor exploit DeFi de este año, y llega en un momento delicado para el sector.
Lea más en Bloomberg.com
