El sábado, un hacker recargó su monedero a través de Tornado Cash , esperó 10 horas y luego ejecutó una transacción que sustrajo 292 millones de dólares de KelpDAO.
Para cuando alguien se dio cuenta, el dinero ya había desaparecido. Y para cuando KelpDAO hizo una pausa, otros dos intentos habían fracasado en cuestión de minutos.
El hacker de KelpDAO quería robar 391 millones de dólares
La billetera que llevó a cabo el ataque fue financiada a través del pool de 1 ETH de Tornado Cash. Este es un paso de ofuscación estándar que inicializó la dirección con dinero limpio para el gas.
La billetera llamada lzReceive, que opera bajotracEndpointV2 de LayerZero, y el puente OFT de KelpDAO, liberaron 116.500 rsETH a una dirección de atacante diferente. El robo se completó en una sola transacción.
Lo que siguió demostró lo ajustados que estaban los márgenes. El atacante regresó dos veces. Dos paquetes LayerZero más impactaron el puente, cada uno dirigido a 40 000 rsETH, con un valor combinado de aproximadamente 100 millones de dólares. Ambos fueron revertidos.
Cinco minutos antes, la multifirma de emergencia de Kelp había ejecutado pauseAll. Esta acción congeló el LRT Deposit Pool, el Withdrawaltrac, el LRT Oracle y el token rsETH. El intervalo entre el drenaje exitoso y la pausa fue de 46 minutos, y el intervalo entre la pausa y el siguiente intento de ataque fue de cinco minutos.
Las pérdidas totales de KelpDAO habrían ascendido a unos 391 millones de dólares si el segundo y el tercer intento del atacante hubieran tenido éxito.
El atacante activa la deuda incobrable Aave
Los 116.500 tokens rsETH tenían un valor aproximado de 292 millones de dólares a los precios actuales. Esta cantidad representa aproximadamente el 18% del suministro circulante de rsETH, que asciende a unos 630.000.
rsETH es un token de re-staking líquido construido sobre EigenLayer y está implementado en más de 20 redes, incluidas Base, Arbitrum, Linea, Blast, Mantle y Scroll.
El atacante no se limitó a tener en su poder los tokens rsETH robados. Según los datos de la cadena de bloques, los tokens se depositaron en Aave V3 como garantía para obtener préstamos de grandes cantidades de Ether y Wrapped Ether. Los fondos se canalizaron de vuelta a través de Tornado Cash para ocultar el rastro.
Ese paso convirtió una vulnerabilidad en un puente financiero en un posible problema de morosidad para Aave, una de las plataformas de préstamos DeFimás grandes. Como resultado, Aave V3 podría enfrentar una exposición a morosidad de hasta 177 millones de dólares.
El investigador de blockchain ZachXBT alertó sobre el incidente dent Telegram en menos de una hora. "Parece que KelpDAO sufrió el robo de más de 280 millones de dólares hace una hora en Ethereum y Arbitrum", escribió, confirmando que las billeteras de los hackers se financiaron a través de Tornado Cash .
declaración pública de Kelp se produjo el día X, más de dos horas y media después del vaciado. «Hoy temprano identificamos dent sospechosa entre cadenas que involucra a rsETH», escribió el protocolo. «Hemos pausado los contratos de rsETH trac la red principal y en varias capas L2 mientras investigamos. Estamos trabajando con LayerZero, Unichain, nuestros auditores y los mejores expertos en seguridad en el análisis de la causa raíz».
Aave congeló todos los mercados de rsETH en Aave V3 y V4. El protocolo confirmó en X que la vulnerabilidad se encontraba en rsETH, no en lostracde Aave. «Estamos revisando la información sobre los préstamos de rsETH en Aave que se produjeron tras la explotación y compartiremos más detalles lo antes posible», escribió Aave . El equipo Aave también está explorando formas de cubrir las pérdidas.
Aave cayó un 10,65% en el día, hasta los 103,86 dólares. Ethereum bajó aproximadamente un 3% y actualmente cotiza a 2.358,24 dólares.
El ataque a KeplerDAO se produjo menos de dos semanas después del robo de 286 millones de dólares a Drift Protocol, el mayor hurto de criptomonedas de 2026 hasta la fecha. Según un informe Cryptopolitan a Drift Protocol está vinculado al mismo grupo que robó 1.400 millones de dólares a Bybit.
KelpDAO ocupa ahora el segundo puesto en la lista de los mayores hackeos de criptomonedas de 2026.
