Los hackers han explotado un puente cross-chain conectado con Kelp DAO, lo que ha provocado el robo de casi 300 millones de dólares en activos digitales en lo que, según se ha informado, es el mayor exploit financiero descentralizado de 2026.
El ataque se dirigió a un puente construido con tecnología LayerZero, que permite transferencias entre diferentes redes blockchain. Según los informes, los atacantes drenaron aproximadamente 116.500 tokens rsETH, valorados en unos 292 millones de dólares en el momento del incidente.
La brecha se produjo el 18 de abril de 2026, cuando los atacantes realizaron transacciones no autorizadas a través de la infraestructura del puente. Se identificaron intentos adicionales de extraer fondos que no tuvieron éxito, lo que limitó las pérdidas totales.
Kelp DAO suspendió los contratos afectados poco después de detectar la actividad, en un esfuerzo por evitar más transferencias no autorizadas.
Los puentes cross-chain están diseñados para facilitar la transferencia de activos entre ecosistemas blockchain separados. Estos sistemas dependen de mecanismos de validación que confirman transacciones entre redes. En este caso, el exploit consistía en manipular esos mecanismos para autorizar retiradas que no eran legítimas.
Los activos robados representan una parte significativa del suministro del protocolo. Las estimaciones indican que los fondos drenados representaban aproximadamente el 18% del suministro total de rsETH en ese momento.
El incidente afectó a múltiples plataformas financieras descentralizadas que dependen de la misma infraestructura, ya que los puentes cross-chain suelen funcionar como componentes compartidos entre diferentes servicios.
No se ha hecho ninguna atribución confirmada respecto a la identidad de los atacantes. Las investigaciones continúan, con analistas blockchain rastreando el movimiento de fondos robados a través de diferentes redes y servicios.
Los puentes cross-chain han sido repetidamente objetivo en incidentes anteriores debido a los grandes conjuntos de activos que poseen y a la complejidad de sus sistemas de validación. La investigación en seguridad ha identificado estos mecanismos como un punto común de fallo en las arquitecturas financieras descentralizadas.
No se han revelado todos los detalles técnicos del exploit. Kelp DAO y los proveedores de infraestructura asociados han declarado que el análisis del incidente sigue en curso.