Resumen Ejecutivo
El puente Layerzero V2 de KelpDAO sufrió una explotación el sábado que permitió a un atacante extraer 116,500 rsETH del adaptador OFT de Ethereum. La brecha abarcó tanto la red Ethereum como la de Arbitrum, no dejó rsETH quemados en la cadena de origen y generó preocupaciones inmediatas para los mercados de Aave V3, que ahora podrían enfrentar exposición a deuda incobrable.
Qué ocurrió
Un sábado, un actor desconocido apuntó a la ruta rsETH construida sobre el puente Layerzero V2 de KelpDAO. Manipulando la lógica cross‑chain del puente, el atacante desvió 116,500 rsETH del adaptador OFT de Ethereum a una dirección bajo su control.
La explotación operó en dos ecosistemas principales: la mainnet de Ethereum y la capa‑2 Arbitrum. A pesar de mover un gran volumen de rsETH, la transacción dejó la cadena de origen intacta —no se quemaron tokens rsETH—, lo que significa que el suministro total en Ethereum permaneció sin cambios.
El incidente quedó documentado en un informe publicado por Llamarisk en el foro de Aave. El informe detalla los pasos técnicos utilizados para vulnerar el puente y señala que el vector de ataque aprovechó la capa de mensajería Layerzero V2.
Antecedentes / Contexto
KelpDAO brinda liquidez y servicios de staking para rsETH, una representación tokenizada del Ether en staking. La plataforma depende de Layerzero V2 para habilitar transferencias cross‑chain sin fricciones, enrutando activos entre Ethereum y soluciones layer‑2 como Arbitrum mediante un adaptador OFT (Omnichain Fungible Token).
La arquitectura de Layerzero usa un protocolo de mensajería para sincronizar balances de tokens entre cadenas. En este caso, la ruta rsETH es un conducto crítico para usuarios que mueven activos de Ether en staking entre ambas redes, convirtiéndola en un objetivo de alto valor para actores maliciosos.
Aave V3, uno de los principales protocolos de préstamo descentralizado, acepta rsETH como colateral. La explotación del puente abrió una posible vía para la acumulación de deuda incobrable, ya que la salida repentina de rsETH podría afectar los ratios de colateralización de los préstamos respaldados por este token.
Reacciones
La comunidad se enteró de la brecha a través del informe de incidente redactado por Llamarisk en el foro de Aave. El informe ofrece una guía técnica y solicita una revisión exhaustiva de seguridad de los componentes del puente.
KelpDAO no ha publicado una declaración oficial al momento de redactar este artículo, y ningún portavoz de Aave V3 ha comentado públicamente sobre la exposición. Observadores en plataformas sociales señalaron el incidente como un recordatorio de los riesgos inherentes a los puentes cross‑chain.
Qué significa
La extracción de 116,500 rsETH sin quemar tokens en la cadena de origen indica una falla en la lógica de validación de estado del puente. Para Aave V3, el incidente se traduce en un riesgo latente: los prestatarios que usaron rsETH como colateral podrían enfrentarse ahora a posiciones sub‑colateralizadas si los tokens faltantes no pueden recuperarse.
Los protocolos DeFi que integran rsETH o dependen de la mensajería Layerzero V2 probablemente reevaluarán sus posturas de seguridad. El incidente subraya la importancia de auditorías rigurosas para los adaptadores cross‑chain, especialmente cuando sirven como puertas de entrada a plataformas de préstamo