$293 Millones Robados: Cómo la Explotación de Kelp Restaking se Convirtió en uno de los Peores Ataques en DeFi

Otro día, otro enorme agujero en el balance de DeFi, esta vez debido a un ataque a la plataforma de restaking Kelp que resultó en la pérdida de $293 millones a través de una explotación del protocolo en ocho tipos diferentes de cuentas. Desafortunadamente, debido a que la vulnerabilidad estaba activa y no pudo ser verificada antes de que los protocolos subyacentes y la blockchain pudieran ser marcados como "emergencia" y bloqueados, los hackers pudieron extraer fondos de la plataforma Kelp sin que los protocolos en cuestión pudieran impedirlo.

El restaking abarca muchos aspectos de las estrategias de generación de rendimiento más innovadoras de DeFi al permitirte utilizar tus activos ya stakeados para generar ingresos adicionales de diferentes fuentes al mismo tiempo.

El restaking representa un alto riesgo debido a la complejidad de los sistemas asociados (múltiples partes móviles), las interacciones de contratos y, por lo tanto, más oportunidades para que ocurran exploits de vulnerabilidad.

La combinación de todos estos factores crea una situación ideal para que los hackers exploten las vulnerabilidades de Kelp, permitiéndoles robar con éxito fondos de las cuentas de los usuarios.

Cómo se Desarrolló el Ataque

El adversario utilizó una vulnerabilidad en la gestión de la interacción entre los Tokens de Staking Líquido (LST) que se usaban para una máxima eficiencia de capital a través del Restaking, así como entre el LST real en la blockchain de Ethereum y los diversos contratos subyacentes de los Tokens de Staking Líquido. El hacker pudo alterar la lógica contable interna que determina cuánto valor los Tokens de Staking Líquido proporcionaban al protocolo.

La explotación del modelo de manipulación de precios/inflación de LST es un método de ataque bien conocido a través de otros protocolos DeFi, y de hecho ha sido reportado en varias ocasiones anteriormente. El atacante logra esto explotando una disparidad entre el precio que un protocolo DeFi determina como el valor del LST y el precio al que el LST puede ser negociado en el mercado abierto. Posteriormente, el atacante puede extraer más del protocolo de lo que depositó inicialmente, aprovechándose así del esfuerzo que otros han invertido en utilizar el protocolo DeFi y/o banco.

En el incidente de Kelp, el atacante explotó el contrato puente adaptador de rsETH —el código de software que gestiona el token rsETH de Kelp— y drenó la plataforma de aproximadamente $293 millones en fondos, según la firma de seguridad blockchain Cyvers. Para cuando el equipo de Kelp se dio cuenta y comenzó a pausar los contratos, ya habían retirado la mayor parte de los $293 millones robados.

Después de extraer los fondos, el atacante convirtió aproximadamente $250 millones de los fondos robados a Ether a través de una dirección financiada por Tornado Cash, de una manera muy enrevesada para dificultar el rastreo por parte de los investigadores. Aunque los investigadores comenzaron a seguir las huellas del dinero a las pocas horas de ocurrir el robo, la velocidad con la que el atacante blanqueó el dinero robado indica que estaban bien preparados para ejecutar este esquema y, por lo tanto, no fue una acción espontánea o impulsiva de su parte.

Cómo se Ve Realmente el Riesgo del Restaking

El auge del restaking ha sido una de las áreas de más rápido crecimiento en las finanzas descentralizadas (DeFi) en los últimos dos años. La idea ganó tracción con el lanzamiento de la mainnet de Eigenlayer, que permitió a los stakers de Ethereum extender las garantías de seguridad de su ETH stakeado a otros protocolos a cambio de un rendimiento adicional. EigenLayer creció de $1.1 mil millones a más de $18 mil millones en TVL a lo largo de 2024–2025, representando ahora más del 85% del mercado general de restaking.

Por ejemplo, Kelp es una plataforma construida sobre esta infraestructura, que da a los usuarios acceso directo a las posiciones de restaking y elimina la necesidad de que gestionen esa complejidad.

Debido al potencial de rendimiento, un capital significativo ha fluido a este tipo de inversión muy rápidamente. En varias ocasiones, Kelp mantuvo aproximadamente $1.07 mil millones en valor total bloqueado (TVL), lo que la convierte en el segundo actor más grande en el ecosistema de EigenLayer.

Aunque ha habido muchas mejoras en la tecnología blockchain a lo largo del tiempo, todavía existen desafíos asociados con la gestión de riesgos debido a los cambios y avances continuos en la industria. Por ejemplo, el riesgo es una parte inherente de cada proyecto blockchain. Hay varias motivaciones para crear riesgos; una motivación es construir un negocio basado en incentivar a las personas a usar tu producto. Hay múltiples capas de complejidad involucradas en la gestión de riesgos. Por cada capa adicional de complejidad que contribuye a generar rendimiento, surge una capa adicional de riesgo.

Cuando se trata de una posición de staking simple a través de un nodo validador, solo hay un modo de fallo: el slashing del validador. Sin embargo, cuando se trata de una posición de restaking que está unida por un token de staking líquido y enrutada a través de un pool agregado donde los tokens pueden asignarse a múltiples servicios de validador activos, entonces todos los modos de fallo de los servicios individuales tienen interdependencias entre sí porque todos están sujetos al mismo riesgo subyacente.

Los modelos de riesgo son muy difíciles de diseñar e implementar antes de implementar estrategias debido a la multitud de posibles modos de fallo dentro de un modelo de riesgo dado. Las prácticas generales de auditoría pueden ser útiles para detectar/abordar la mayoría de los defectos que puedan existir en un sistema o producto determinado, pero la auditoría por sí sola no garantiza que se satisfaga la especificación contractual subyacente. En contraste, la verificación formal puede proporcionar cierto nivel de seguridad de que la especificación subyacente ha sido satisfecha, pero no puede tener en cuenta cómo puede comportarse un contrato al interactuar con otros contratos durante diferentes secuencias de transacciones.

Además, la naturaleza competitiva del ecosistema de Finanzas Descentralizadas (DeFi) crea incentivos para que las empresas proporcionen soluciones rápidas que les permitan obtener liquidez de sus competidores. Las empresas a menudo eligen limitar su nivel de diligencia debida necesaria para apoyar el desarrollo de infraestructura de alto valor dentro de su entorno competitivo.

El Patrón Más Amplio Que Nadie Quiere Reconocer

DeFi ha producido ya suficientes exploits grandes para sacar conclusiones reales de ellos, y una de esas conclusiones es incómoda: el código auditado que se ejecuta en blockchains públicas con cientos de millones de dólares bloqueados en su interior es un objetivo extraordinariamente atractivo para atacantes sofisticados que tienen tanto la capacidad técnica como la motivación financiera para encontrar vulnerabilidades que las firmas de auditoría pasaron por alto. El exploit de Kelp es ahora el mayor hackeo de DeFi de 2026, en medio de un aumento generalizado de ataques DeFi que ya han superado los $450 millones en pérdidas para el año en aproximadamente 45 protocolos.

La transparencia que hace que DeFi sea filosóficamente atractivo —código de código abierto, transacciones públicas, lógica verificable— es también lo que permite a los atacantes estudiar los protocolos objetivo durante el tiempo que necesiten sin que nadie sepa que lo están haciendo. Los sistemas internos de una institución financiera tradicional están al menos parcialmente oscurecidos. Los contratos de un protocolo DeFi son legibles por todos, incluidas las personas que quieren drenarlos.

Esto no es un argumento en contra de DeFi. Es un argumento a favor de ser honestos sobre cómo se ve realmente el perfil de riesgo de estas plataformas, especialmente a medida que atraen capital minorista de usuarios que no necesariamente entienden que "auditado" no significa "seguro". El contagio del exploit de Kelp provocó la salida de más de $5.4 mil millones en ETH de Aave, con las tasas de utilización de WETH alcanzando el 100% y el precio del token AAVE cayendo hasta los $92.

Los usuarios de Kelp no se inscribieron para perder $293 millones. Se inscribieron para obtener rendimiento. La distancia entre esos dos resultados es donde residen los problemas más difíciles y sin resolver de DeFi.