El Protocolo: Kelp DAO explotado por $292 millones

Noticias de la Red

EXPLOITACIÓN DE KELP DAO: Un puente cross-chain que posee casi una quinta parte del suministro circulante de un token ether restaked acaba de ser vaciado, y las consecuencias se están propagando por DeFi más rápido de lo que Kelp DAO puede pausar contratos. Un atacante extrajo 116,500 rsETH (ether reestablecido) del Kelp DAO Puente potenciado por LayerZero a las 17:35 UTC durante el fin de semana, con un valor aproximado de 292 millones de dólares a precios actuales y que representa alrededor del 18% del suministro circulante de 630,000 tokens rsETH rastreado por CoinGecko. LayerZero es una capa de mensajería cross-chain, o la infraestructura que permite a diferentes blockchains enviarse instrucciones verificadas entre sí. Kelp DAO es un protocolo de restaking líquido, que toma ETH depositado por usuarios, lo enruta a través de EigenLayer para ganar rendimiento adicional además de las recompensas estándar de staking de Ethereum, y emite rsETH como recibo comerciable. El puente que fue vaciado mantenía la reserva de rsETH que respalda las versiones envueltas del token desplegadas en más de 20 blockchains adicionales. El atacante engañó a la capa de mensajería cross-chain de LayerZero haciéndole creer que había llegado una instrucción válida desde otra red, lo que disparó que el puente de Kelp liberara 116,500 rsETH a una dirección controlada por el atacante. El multisig de pausa de emergencia de Kelp congeló los contratos centrales del protocolo 46 minutos después del vaciado exitoso, a las 18:21 UTC. Dos intentos posteriores a las 18:26 UTC y 18:28 UTC fueron revertidos, ambos con el mismo paquete de LayerZero intentando otro drenaje de 40,000 rsETH con un valor aproximado de 100 millones de dólares. — Shaurya Malwa Leer más.

MANUAL DE ATRACO CRIPTO DE COREA DEL NORTE: Menos de tres semanas después de que hackers vinculados a Corea del Norte utilizaran ingeniería social para empresa de trading de criptomonedas Drift, hackers vinculados a la nación parecen haber llevado a cabo otro exploit importante con Kelp. El ataque a Kelp, un protocolo de restaking conectado a la infraestructura cross-chain de LayerZero, sugiere una evolución en la forma en que operan los hackers vinculados a Corea del Norte, no solo buscan fallos o credenciales robadas, pero explotando las suposiciones básicas integradas en los sistemas descentralizados. En conjunto, los dos incidentes indican algo más organizado que una serie de ataques aislados, mientras Corea del Norte continúa intensificando sus esfuerzos para secuestrar fondos del sector cripto. “Esto no es una serie de incidentes; es una cadencia,” dijo Alexander Urbelis, director de seguridad de la información y asesor general en ENS Labs. “No se puede solucionar con parches un calendario de adquisiciones.” Más de 500 millones de dólares fueron desviados a través de las explotaciones de Drift y Kelp en poco más de dos semanas. En esencia, la explotación de Kelp no involucró romper la encriptación ni descifrar claves. El sistema en realidad funcionó como fue diseñado. Más bien, los atacantes manipularon los datos que alimentaban el sistema y lo obligaron a depender de esas entradas comprometidas, haciendo que aprobara transacciones que en realidad nunca ocurrieron. — Margaux Nijkerk Leer más.

AAVE AFECTADA POR EL HACKEO DE KELP DAO: Un atacante explotó esa configuración al falsificar un mensaje de transferencia que parecía válido. El sistema aprobó la transferencia aunque los tokens nunca fueron retirados de la cadena de envío, lo que significa que se crearon nuevos tokens sin respaldo, liberando 116,500 rsETH desde el puente del lado de Ethereum. En lugar de vender los activos en el mercado abierto, el atacante depositó 89,567 rsETH en Aave como garantía y pidió prestados aproximadamente $190 millones en ETH y activos relacionados a través de Ethereum y Arbitrum, según el informe. Esto dejó a Aave expuesto a garantías cuyo respaldo podría estar significativamente deteriorado. Aave Labs señaló que actuó rápidamente para contener el riesgo. En cuestión de horas, el protocolo congeló los mercados de rsETH en todas sus implementaciones, estableció los ratios préstamo-valor en cero y detuvo nuevos préstamos contra el activo. El resultado ahora depende en gran medida de cómo Kelp maneje el déficit. Si las pérdidas se distribuyen entre todos los poseedores de rsETH, el token enfrentaría una desvinculación estimada del 15 % (lo que significa que el valor de los tokens en staking no coincidiría con el valor del ETH real), resultando en aproximadamente $124 millones en deuda incobrable para Aave. Si las pérdidas se aíslan en las redes de Capa 2, el impacto sería mucho más severo, con deuda incobrable que subiría a aproximadamente $230 millones y concentrada en redes como Arbitrum y Mantle.— Margaux Nijkerk Leer más.

COINBASE ENCARGA INFORME SOBRE LOS RIESGOS DE LA COMPUTACIÓN CUÁNTICA: Un nuevo informe encargado por Coinbase lanza una alarma cautelosa pero urgente: la computación cuántica no romperá la criptografía mañana, pero la industria no puede permitirse esperar. El documento de 50 páginas, elaborado por una junta asesora independiente que incluye destacados criptógrafos y académicos como Dan Boneh de la Universidad de Stanford, Justin Drake de la Fundación Ethereum y Sreeram Kannan de Eigen Labs, concluye que si bien las cadenas de bloques actuales siguen siendo seguras, una futura “computadora cuántica tolerante a fallos” capaz de romper la encriptación ampliamente utilizada es cada vez más plausible, y la preparación debe comenzar ahora. En los últimos meses, las preocupaciones sobre el riesgo cuántico se han ido integrando más en el ámbito mainstream. Investigadores de Google han publicado estimaciones que sugieren que una computadora cuántica suficientemente avanzada la computadora podría algún día romper la criptografía de Bitcoin. Los principales ecosistemas criptográficos ya han comenzado a delinear sus respuestas. La Fundación Ethereum ha propuesto nuevos tipos de firmas digitales diseñadas para ser seguras contra computadoras cuánticas, mientras que Solana y otros están experimentando con diseños de billeteras resistentes a la computación cuántica. El informe enfatiza que las máquinas cuánticas actuales están lejos de ser lo suficientemente poderosas para romper la criptografía que sostiene a Bitcoin, Ethereum y otras redes. Romper la encriptación estándar requeriría un enorme gasto computacional, un hito que aún se considera un gran desafío de ingeniería. — Margaux Nijkerk Leer más.

En otras noticias

• Una parte del botín de Kelp DAO ya no se moverá a ningún lado. El Consejo de Seguridad de Arbitrum congeló 30,766 ETH por un valor aproximado de $71 millones el lunes por la noche, moviendo fondos vinculados a la explotación de rsETH de $292 millones del sábado hacia una billetera intermediaria que solo puede ser accedida mediante una acción adicional de gobernanza de Arbitrum. El consejo dijo que actuó basándose en la información proporcionada por las autoridades sobre la identidad del explotador y ejecutó el congelamiento "sin afectar a ningún usuario o aplicación de Arbitrum." La transferencia se completó a las 11:26 p.m. ET del 20 de abril, según el comunicado de Arbitrum en X. Los fondos robados ya no están bajo el control de la dirección que los poseía originalmente. — Shaurya Malwa Leer más.
• A Contrato de Polymarket respecto a si Kelp DAO distribuirá las pérdidas del exploit de $292 millones ocurrido el fin de semana más allá de los directamente afectados apunta a una respuesta clara: probablemente no. Los apostadores otorgan un 14% de probabilidad a que Kelp 'socialice las pérdidas', o implemente un mecanismo que obligue a los poseedores de rsETH en Ethereum, que no fue afectada, a compartir el perjuicio de los usuarios en otras cadenas. Los atacantes drenaron aproximadamente 116,500 rsETH de un puente impulsado por LayerZero que tenía las reservas que respaldaban el token a lo largo de más de 20 cadenas de bloques. Eso dejó partes del sistema con insuficiente colateralización, con algunos tenedores efectivamente poseyendo tokens que ya no estaban completamente respaldados por ether (ETH). “Socializar las pérdidas” significaría que Kelp redistribuya el déficit entre todos los tenedores de rsETH, incluyendo aquellos en la red principal de Ethereum, en lugar de dejar que las pérdidas se concentren entre los usuarios y protocolos vinculados al puente comprometido. El precedente más citado de este enfoque se remonta a 2016, cuando Bitfinex impuso pérdidas a todos los usuarios después de un hackeo de $60 millones, mutualizando efectivamente el impacto para evitar el cierre. — Sam Reynolds Leer más.

Regulación y Políticas

• Abril parece ser una causa perdida para la Ley de Claridad Cripto, pero una audiencia del comité del Senado de EE. UU. en algún momento de mayo podría mantener viva la legislación crítica sobre la estructura del mercado, siempre y cuando pueda alcanzar una votación final en el Senado en general para julio, según lobistas y un asistente legislativo que se enfoca en el lento progreso del proyecto de ley sobre la estructura del mercado. El calendario legislativo se está agotando para este año, pero un asistente del Senado dijo a CoinDesk que un posible nuevo retraso de un par de semanas — para permitir que el senador republicano Thom Tillis termine las discusiones con banqueros sobre preocupaciones relacionadas con los rendimientos de las stablecoins — aún no está llevando este trabajo más allá del punto de no retorno. El asistente también mencionó que las negociaciones previas sobre las protecciones de las finanzas descentralizadas (DeFi) están efectivamente resueltas, dejando pocos otros impedimentos en el camino hacia la aprobación del comité. Uno de los principales problemas que enfrenta la industria cripto (si logra superar el obstáculo persistente de las objeciones del sector bancario sobre las recompensas de stablecoins) es que la audiencia del Comité Bancario del Senado, que debe superar el proyecto de ley, sería solo el primer paso de muchos. — Jesse Hamilton Leer más.
• El creador de Tron, Justin Sun, demandó el martes a World Liberty Financial, la firma de stablecoin y criptomonedas respaldada por miembros de la familia del presidente de los EE. UU., Donald Trump, alegando que el proyecto había bloqueado injustamente sus tenencias de $WLFI, hizo representaciones fraudulentas y amenazó y difamó a Sun. La demanda presentada, que incluye una línea sobre el apoyo de Sun al propio Trump, alegó que el liderazgo de World Liberty había participado "en un esquema ilegal para apoderarse de propiedades" en forma de los tokens de Sun, los cuales Sun afirmó haber comprado tras ser solicitado por el equipo de World Liberty en 2024. "En ese momento crucial para World Liberty, el Sr. Sun invirtió 45 millones de dólares para adquirir tokens $WLFI de World Liberty no solo debido a las afirmaciones del proyecto de que promovería la adopción de las finanzas descentralizadas —un tema que al Sr. Sun le importa profundamente y al que ha dedicado gran parte de su trabajo de vida— sino también por la asociación de la familia Trump con el proyecto", señaló la demanda.— Nikhilesh De y Sam Reynolds Leer más.

Calendario

• 5-7 de mayo de 2026: Consenso, Miami
• 2-3 de junio de 2026: Prueba de Conversación, París
• 8-10 de junio de 2026: ETHConf, Nueva York
• 29 de septiembre - 1 de octubre de 2026: Semana Blockchain de Corea, Seúl
• 7-8 de octubre de 2026: Token2049, Singapur
• 3-6 de noviembre de 2026: Devcon, Mumbai
• 15-17 de noviembre de 2026: Solana Breakpoint, Londres