Herramienta de IA de código abierto advirtió sobre vulnerabilidad de 292 millones de dólares en Kelp DAO 12 días antes

BroadChain de Bochain se enteró de que a las 18:46 del 20 de abril, según PANews, el 18 de abril, Kelp DAO sufrió un robo de 292 millones de dólares debido a una vulnerabilidad en la configuración del puente LayerZero, convirtiéndose en el mayor incidente de seguridad en DeFi hasta ahora en 2026. La raíz de la vulnerabilidad radica en que su puente OFT utilizaba una configuración de nodo de verificación DVN de 1-de-1, lo que permitió al atacante falsificar mensajes de cross-chain simplemente comprometiendo un solo nodo, acuñando 116,500 rsETH sin garantía en la red principal. El 6 de abril, al utilizar su herramienta de auditoría de IA de código abierto para evaluar el riesgo de Kelp, el autor ya había marcado claramente las brechas de información clave, como la "falta de transparencia en la configuración de DVN" y el "riesgo de fallo único en 16 cadenas", y señaló que su arquitectura era muy similar a los patrones de ataque históricos de los puentes de Ronin y Harmony. Después del ataque, el atacante depositó los rsETH robados como garantía en protocolos como Aave V3, tomando prestados aproximadamente 236 millones de dólares en WETH, lo que resultó en aproximadamente 177 millones de dólares en deudas incobrables para Aave, afectando a los titulares de rsETH en múltiples cadenas y a usuarios de protocolos no relacionados. Este incidente destaca los riesgos sistémicos en la configuración de arquitecturas cross-chain y el control de gobernanza en los protocolos DeFi, en lugar de ser simplemente una vulnerabilidad de contrato inteligente.