#KelpDAOBridgeHacked

‍#Gate13thAnniversaryLive
La puente respaldada por ZRO de KelpDAO fue hackeada el 18 de abril de 2026, resultando en el robo de aproximadamente $292–294 millones en monedas en más de 20 cadenas; esto se convirtió en el mayor ataque DeFi de 2026. El ataque, utilizando un validador ZRO comprometido, causó congelamientos inmediatos en Aave, Arbitrum y otros protocolos.

Información básica

Fecha del ataque: 18 de abril de 2026, ~17:35 UTC

Fondos robados: ~116,500 monedas (~$292–294 millones), ~18% del suministro en circulación

Vector de ataque: Mensaje falso de ZRO entre cadenas mediante configuración comprometida de Red de Validadores Descentralizados 1-a-1 (DVN)

Protocolos afectados: Aave, SparkLend, Fluid, Arbitrum, Lido, Ethena, Compound, Euler

Consecuencias inmediatas:

Aave congeló V3 y V4 y enfrentó un riesgo de ~$177–196 millones en deuda incobrable.

Arbitrum congeló 30,766 ETH (~$100 millón) vinculados a la billetera del hacker.

ZRO cayó más del 22% en 24 horas.

El precio del token AAVE cayó aproximadamente un 20% a $92.06.

Impacto en el mercado

Ethereum (ETH): El precio cayó a $2,300 inmediatamente después del ataque y fue completamente reflejado en los mercados de predicción.

Bitcoin (BTC): La aversión al riesgo aumentó la probabilidad de que los contratos de predicción para BTC alcanzaran los $60,000 para finales de abril al 22%.

Liquidez en DeFi: Aproximadamente $9 mil millones$100 fue retirado de Aave en pánico; esto indica un temor sistémico respecto a la seguridad del colateral en las puentes.

Responsabilidad y atribución

Sospechoso: El Grupo Lazarus de Corea del Norte, que utilizó técnicas sofisticadas de falsificación.

Postura de KelpDAO: Culpa a la infraestructura de ZRO, específicamente a los nodos RPC comprometidos y a la configuración insegura del DVN 1-a-1. Kelp insiste en que sus propios contratos no fueron explotados directamente.

Respuesta de ZRO: Reconociendo fallos en la configuración del validador, trabajando activamente en acciones correctivas con KelpDAO.

Medidas y próximos pasos

Congelamientos de emergencia: KelpDAO detuvo las transferencias de monedas robadas entre Ethereum y L2s en 46 minutos.
Billeteras bloqueadas: KelpDAO ha incluido en la lista negra las direcciones abusivas e implementado SEAL 911, una línea directa para amenazas de seguridad.

Acción de gobernanza: Arbitrum DAO votará sobre el destino de (millón en ETH congelado.

Soluciones futuras: Se están realizando llamadas para configurar múltiples validadores DVN para evitar puntos únicos de fallo en la mensajería entre cadenas.

Riesgos y lecciones

Las vulnerabilidades en las puentes siguen siendo el mayor riesgo sistémico en DeFi.

Las configuraciones con un solo validador son inaceptables para protocolos de alto valor; la redundancia es fundamental.

Dispersión del colateral: El uso de activos comprometidos como colateral )p. ej., en Aave$ZRO podría causar que el daño se propague a varias plataformas.

Confianza de la comunidad: KelpDAO, que tenía un valor total bloqueado de $1.57 mil millones antes del ataque, ha sufrido un golpe a su credibilidad, y la recuperación dependerá de las soluciones implementadas de manera transparente.
‍$AAVE $ARB