Kelp DAO ha disputado públicamente un informe que caracteriza el incidente del puente rsETH como un exploit, argumentando que la configuración predeterminada de LayerZero, y no un ataque deliberado, fue responsable de una pérdida reportada de $290 millones. La disputa redefine el incidente del 18 de abril de explotación externa a fallo de configuración de infraestructura.
Lo que afirmó el informe del ataque al puente rsETH
Lo que supuestamente se perdió
Una evaluación de seguridad publicada por CredShields describió el incidente del puente rsETH como un exploit que involucra la infraestructura del puente entre cadenas de Kelp DAO, citando aproximadamente $290 millones en pérdidas. El informe utilizó un lenguaje consistente con un ataque externo deliberado.
Por qué el incidente fue descrito como un ataque al puente
El informe de CredShields enmarcó el evento utilizando terminología de exploit, implicando que un actor de amenaza identificó y aprovechó una vulnerabilidad en el mecanismo del puente. Esta caracterización posicionó el incidente junto a otros hackeos de puentes DeFi de alto perfil en lugar de tratarlo como un fallo operativo.
Sin embargo, la redacción en el titular en sí señala una caracterización disputada. La respuesta de Kelp DAO, documentada en un hilo de gobernanza de Aave, desafía directamente la interpretación de exploit primero.
Por qué Kelp DAO disputa la narrativa del ataque
La refutación central de Kelp DAO
La contraposición de Kelp DAO, presentada en la discusión de gobernanza de Aave, rechaza completamente la etiqueta de ataque. El protocolo sostiene que la pérdida resultó de cómo se configuraron los valores predeterminados de mensajería cross-chain de LayerZero, no de un adversario descubriendo una ruta de exploit novedosa.
Esta no es una distinción semántica menor. Clasificar un incidente como un ataque implica negligencia de seguridad al defenderse de amenazas externas. Clasificarlo como un fallo de configuración traslada la responsabilidad hacia los valores predeterminados de infraestructura y las elecciones de integración.
Qué partes del informe se están cuestionando
Kelp DAO cuestiona tanto el mecanismo de causalidad como la narrativa implícita. El protocolo no disputa que ocurrieron pérdidas, pero disputa la caracterización de CredShields de cómo y por qué ocurrieron esas pérdidas.
El conflicto es específico: el informe de CredShields asigna la causalidad a un vector de exploit, mientras que la refutación de gobernanza de Kelp DAO asigna la causalidad a parámetros predeterminados de LayerZero que eran insuficientes para el valor que se estaba asegurando.
Cómo la configuración predeterminada de LayerZero se convirtió en el punto focal
El papel de la configuración predeterminada en la versión de los eventos de Kelp DAO
Según el relato de Kelp DAO en el hilo de gobernanza, la configuración predeterminada de LayerZero para la verificación de mensajes cross-chain carecía de las garantías de seguridad necesarias para activos puenteados de alto valor. El protocolo argumenta que estos valores predeterminados de fábrica crearon las condiciones para la pérdida sin requerir un exploit sofisticado.
La configuración predeterminada en la mensajería cross-chain determina cómo se validan las transacciones a través de las redes. Si no se cambian, pueden aplicar el mismo umbral de verificación a una transferencia de $100 y a una transferencia de $100 millones, creando un riesgo proporcional al valor sin seguridad proporcional.
Por qué un problema de configuración difiere de una afirmación de ataque
Si el marco de Kelp DAO se sostiene, el incidente se convierte en una cuestión de responsabilidad compartida entre protocolos que se construyen sobre infraestructura cross-chain y las capas de mensajería de las que dependen. Esto es fundamentalmente diferente de un escenario donde un atacante externo encontró una vulnerabilidad de día cero.
Un informe separado que señala el reconocimiento de LayerZero del Grupo Lazarus como un actor probable en incidentes cross-chain relacionados agrega complejidad. La existencia de actores de amenaza a nivel estatal que apuntan a la infraestructura de puentes no valida automáticamente ni el marco de exploit ni el de configuración para este incidente específico.
Lo que la pérdida de $290 millones significa para rsETH y el riesgo DeFi
Por qué importa la cifra de $290 millones
La pérdida reportada coloca esto entre los incidentes DeFi más grandes en 2026. Para los tenedores de rsETH y protocolos con exposición a rsETH, la determinación de la causa raíz afecta directamente las expectativas de recuperación, reclamos de seguros y confianza en el activo en el futuro.
La discusión de gobernanza de Aave refleja cómo los protocolos descendentes están reevaluando la exposición a tokens de liquid restaking. Cuando ocurre un incidente de puente de esta escala, las contrapartes deben evaluar si la infraestructura del activo subyacente cumple con sus estándares de riesgo, una preocupación similar a las planteadas cuando las instituciones mantienen posiciones significativas de ETH a través de arreglos de custodia complejos.
Preguntas que los tenedores de rsETH y las contrapartes harán a continuación
La disputa de clasificación tiene consecuencias prácticas. Si el incidente se considera un fallo de configuración, la responsabilidad puede recaer parcialmente en LayerZero por valores predeterminados inadecuados y parcialmente en Kelp DAO por no anularlos. Si se considera un exploit, Kelp DAO enfrenta un escrutinio más agudo sobre el diseño de seguridad del puente.
Los proyectos que construyen funcionalidad cross-chain, incluidos aquellos que buscan financiamiento nuevo para el desarrollo de infraestructura, enfrentarán preguntas más difíciles sobre sus configuraciones de capa de mensajería. El incidente resalta una brecha en los estándares de seguridad DeFi: actualmente no existe ningún requisito a nivel de industria que exija que los protocolos anulen la configuración predeterminada del puente antes de ponerse en funcionamiento con fondos de usuarios.
Para los protocolos preocupados por la gobernanza responsable y la transparencia, la disputa subraya que la clasificación de incidentes no es meramente académica. Determina quién paga, quién reconstruye la confianza y qué cambia en cómo se despliega la infraestructura cross-chain.
FAQ sobre el incidente de Kelp DAO y rsETH
¿Confirmó Kelp DAO un ataque al puente rsETH?
No. Kelp DAO disputa explícitamente la caracterización de "ataque" en el hilo de gobernanza de Aave, argumentando que la pérdida resultó de la configuración predeterminada de LayerZero en lugar de un exploit deliberado por parte de un atacante externo.
¿De qué culpó Kelp DAO por la pérdida de $290 millones?
Kelp DAO señaló la configuración predeterminada de LayerZero para la verificación de mensajes cross-chain, alegando que estos valores predeterminados eran inadecuados para asegurar el valor en tránsito por el puente.
¿Por qué la configuración predeterminada de LayerZero es central en la disputa?
La configuración predeterminada determina cómo se validan los mensajes cross-chain. Kelp DAO argumenta que los valores predeterminados sin cambios crearon una brecha de seguridad que condujo a la pérdida, convirtiéndolo en un problema de responsabilidad de configuración en lugar de un exploit novedoso.
¿Se está enmarcando esto como un hackeo o un problema de configuración?
Ambos marcos existen en el registro público. El informe de CredShields utiliza lenguaje de exploit, mientras que la refutación de gobernanza de Kelp DAO atribuye la pérdida a la configuración predeterminada. La clasificación permanece disputada a partir de abril de 2026.
Descargo de responsabilidad: Este artículo es solo para fines informativos y no constituye asesoramiento financiero o de inversión. Los mercados de criptomonedas y activos digitales conllevan un riesgo significativo. Siempre realice su propia investigación antes de tomar decisiones.
Fuente: https://coincu.com/defi/kelp-dao-rseth-bridge-attack-report-layerzero-290m-loss/
