Wu Blockchain informa que Kelp DAO ha sufrido un masivo exploit entre cadenas que drenó aproximadamente 116,500 rsETH, valorados en casi $292 millones. El incidente genera nuevas preocupaciones sobre la seguridad del protocolo, menos de un año después de una interrupción previa relacionada con un error en el contrato inteligente.
La respuesta de Kelp DAO previene intentos de explotación adicionales
Según los datos de blockchain, el ataque a Kelp DAO explotó una debilidad en la comunicación entre cadenas, apuntando específicamente al mecanismo del puente utilizado para transferir activos entre redes. El exploit se ejecutó a través de una llamada a la función “Iz Receive” en el EndpointV2 de LayerZero, que finalmente desencadenó la liberación de fondos a una billetera controlada por el atacante.
El investigador on-chain ZachXBT fue uno de los primeros en descubrir la brecha, estimando pérdidas que superan los $280 millones en Ethereum y Arbitrum. El investigador de blockchain también señaló que las direcciones del ataque habían sido financiadas inicialmente a través de Tornado Cash, lo que indica un esfuerzo deliberado por ocultar las fuentes de financiación para el ataque altamente coordinado.
En respuesta a este ataque, Kelp DAO implementó una parada inmediata de todos los contratos de rsETH en su mainnet y en las redes L2 conectadas. El protocolo también congeló la actividad en sus contratos y sistemas principales que cubren depósitos, retiros y funciones de oráculo. Según Kelp DAO, se está llevando a cabo una investigación en curso con LayerZero y Unichain.
Notablemente, el atacante intentó dos transacciones adicionales para drenar otros 40,000 rsETH, por un valor cercano a $100 millones. Sin embargo, las medidas rápidas de Kelp DAO aseguraron que ambos intentos fracasaran, evitando que las pérdidas aumentaran a $391 millones.
Aave Congela Contratos de rsETH
En otras noticias, las repercusiones se han extendido rápidamente más allá de Kelp DAO, con los protocolos de préstamos sintiendo presión inmediata. Aave, una de las plataformas de préstamos DeFi más grandes, respondió congelando los mercados de rsETH en sus implementaciones V3 y V4.
Sin embargo, Aave ha aclarado que sus propios contratos inteligentes no fueron explotados, y la medida es puramente preventiva para limitar la exposición de deuda adicional a rsETH mientras evalúan la situación. La gestión de Aave también se compromete a evaluar posibles estrategias de mitigación si surge alguna deuda mala de las explotaciones.
rsETH en sí es un token de restaking líquido diseñado para representar ETH apostado mientras permite a los usuarios ganar rendimiento adicional a través de estrategias de restaking. Juega un papel clave en el DeFi entre cadenas, permitiendo que el capital se mueva sin problemas a través de múltiples redes, incluyendo Arbitrum, Base y Scroll. La magnitud de la explotación es particularmente dañina ya que los fondos robados representan aproximadamente el 18% del suministro circulante total de rsETH, lo que representa un golpe significativo tanto a la liquidez como a la confianza del usuario.
