Kelp DAO fue atacado el 18 de abril de 2026. Los hackers, al infiltrarse en un único nodo validador de LayerZero, acuñaron 116,500 rsETH sin respaldo de activos reales. Este incidente ha provocado pérdidas de más de 6 mil millones de dólares en toda la industria DeFi en las últimas semanas, y las pérdidas acumuladas de varios protocolos se acercan a los 10 mil millones de dólares. Los datos en cadena muestran que el capital se está retirando aceleradamente de protocolos de re-staking, préstamos y puentes cross-chain, y el valor total bloqueado (TVL) en DeFi ha caído a su punto más bajo en 12 meses.
El problema central de este incidente es si un único nodo validador configurado incorrectamente expuso la vulnerabilidad sistémica de toda la infraestructura DeFi cross-chain. El puente cross-chain de rsETH de Kelp DAO depende de un nodo de red de validación descentralizada para verificar los mensajes de LayerZero. Esta configuración de "1-de-1" de un solo punto ya había sido advertida por la empresa de seguridad Halborn. El atacante (identificado por LayerZero como el grupo TraderTraitor del grupo Lazarus de Corea del Norte) se infiltró en dos nodos RPC que proporcionaban datos a este validador y lanzó un ataque DDoS contra el nodo de respaldo para forzar una transferencia de fallo, inyectando finalmente un mensaje fraudulento que acuñó una enorme cantidad de rsETH.
Las pérdidas se propagaron rápidamente. Los 116,500 rsETH acuñados crearon deudas incobrables en los mercados de préstamos que aceptaban este token como garantía, lo que Halborn describió como una "cámara de eco" de mensajes falsificados. El análisis señala que el problema no está en la herramienta en sí, sino en cómo se configuró. Esto significa que el ataque no explotó una vulnerabilidad de día cero, sino una configuración errónea ya advertida. La arquitectura del validador con un único punto de fallo se ha convertido en una superficie de ataque clara.
Los datos de TVL revelan la gravedad de la fuga de capital. Bajo presión macroeconómica, el TVL total de DeFi ya se había contraído continuamente en el primer trimestre de 2026, y el incidente de Kelp DAO aceleró esta tendencia, provocando una caída vertical. Los datos muestran que en las 48 horas posteriores al ataque del 18 de abril, la salida de TVL alcanzó los 13 mil millones de dólares. Entre ellos, el TVL de Aave cayó abruptamente de 26.4 mil millones de dólares a aproximadamente 18 mil millones de dólares, ya que congeló el mercado de rsETH y los usuarios retiraron fondos masivamente para evitar el riesgo potencial de deudas incobrables. El equipo de riesgo de Aave está actualmente simulando dos escenarios de deuda incobrable basados en la tasa de recuperación de los rsETH no garantizados utilizados como garantía.