Robo de 290 millones de dólares. Tres partes se niegan a reconocerlo. ¿Quién debe pagar la resolución del incidente de KelpDAO?

Título original: "Trilema en un agujero de 290 millones de dólares: Aave, L0, Kelp: ¿Quién pagará la factura?
Autor original: Azuma, Odaily Planet Daily

Han transcurrido más de 30 horas desde que se vulneró el contrato puente rsETH de Kelp DAO. Las partes implicadas (LayerZero, Kelp DAO, Aave) han hecho declaraciones una tras otra (principalmente evadiendo responsabilidades y enfatizando su inocencia), pero aún no han proporcionado una solución definitiva.

Por lo tanto, este artículo tiene como objetivo analizar las posiciones y actitudes actuales de las partes involucradas, explorar las razones de la demora en la solución y especular sobre cómo podría resolverse finalmente el problema.

Nota del editor: Para obtener información de contexto, consulte " Sin errores en el código, pero hackeados: ¿Cuál es la historia detrás del mayor ataque informático de 2026 a través de una vulnerabilidad de configuración de DVN? ".

¿Quién debe asumir la responsabilidad?

En primer lugar, hablemos del tema de la responsabilidad.

Según los detalles revelados por LayerZero, la causa directa del incidente es bastante clara. La red de validación descentralizada (DVN) operada por LayerZero dependía de una infraestructura RPC descendente que fue comprometida (véase el análisis del fundador de SlowMist, Cosine, a continuación), y debido a que el contrato puente de Kelp DAO adoptó una DVN 1/1, el atacante solo necesitaba completar una verificación de mensaje falsificado para ejecutar el ataque.

LayerZero considera que Kelp DAO, que utilizaba la configuración DVN 1/1, es la principal responsable de este incidente. No cabe duda; un "punto único de fallo" tan obvio es absurdo.

Sin embargo, como protocolo subyacente de cadena cruzada, LayerZero también debería asumir cierta responsabilidad. LayerZero permite que cada aplicación de capa superior configure de forma independiente el número y el umbral de DVN. Si bien la configuración 1/1 DVN fue una elección propia de Kelp DAO, como diseñador arquitectónico, LayerZero debería haber evitado configuraciones tan obviamente defectuosas.

Por último, existen protocolos de préstamo como Aave (en este caso, nos centraremos en Aave). Si bien también se ven afectados indirectamente, objetivamente hablando, Aave, en su afán de expansión, otorgó un poder de endeudamiento excesivo a activos de LRT como rsETH, lo que contribuyó directamente a su actual situación pasiva. Además, cabe mencionar que el antiguo equipo de gestión de riesgos de Aave, BGD Labs (ahora separado de Aave), señaló explícitamente el problema del DVN de Kelp DAO en enero del año pasado. Si bien Kelp aceptó el consejo en aquel momento, es evidente que no realizó ningún cambio... Aave no continuó supervisando ni tomando las medidas correspondientes, lo que provocó su propia caída.

Por lo tanto, la responsabilidad es muy clara: Kelp DAO es el principal responsable, LayerZero el secundario, y Aave también tiene cierta responsabilidad indirecta.

La incómoda realidad

La realidad siempre es más compleja que las expectativas teóricas. El problema más crítico es que el equipo de Kelp DAO, que debería asumir la responsabilidad principal, no puede reunir una suma de dinero tan grande para cubrir el déficit... Ya sea deduciendo directamente las pérdidas de todos los poseedores de rsETH o traicionando a los poseedores de tokens de Capa 2, se trata esencialmente de un callejón sin salida.

Entonces, ¿quién tiene el dinero? El primero es LayerZero, que ha sufrido una crisis de reputación debido a este incidente y ha sido temporalmente deshabilitado por muchas instituciones y protocolos como Bitgo, Tron, Ethena, Curve y ether.fi, ante la posible pérdida de una gran cantidad de TVL entre cadenas; el segundo es Aave, que se enfrenta a una enorme deuda incobrable potencial y presencia una salida de miles de millones de dólares en TVL.

Por lo tanto, ahora queda muy claro que todas las partes se están echando la culpa unas a otras. La principal entidad responsable, Kelp DAO, está prácticamente paralizada e incapaz de gestionar la indemnización correspondiente. Es necesario que se discuta con los dos hermanos mayores cómo proceder; mientras tanto, la parte responsable secundaria con capacidad de compensación y la parte responsable indirecta, LayerZero y Aave, han declarado que sus protocolos no tienen ninguna vulnerabilidad y han dejado claro que no están dispuestos a asumir fácilmente una responsabilidad tan grande. Así pues, la situación actual parece estar un poco estancada.

Pero no creo que esta situación dure mucho, porque ambos protocolos tienen la necesidad de resolver el problema lo antes posible: LayerZero no puede renunciar a su mapa del ecosistema entre cadenas de OFT, y Aave no puede ignorar la continua salida de fondos.

Clave para un juego multijugador

Esta mañana, Aave emitió un comunicado actualizado sobre este incidente, y la información más importante es que Aave enfatiza que " rsETH en la red principal de Ethereum cuenta con un buen soporte ".

¿Cómo debe entenderse esta afirmación? Necesitamos comenzar con el diseño de rsETH.

rsETH es esencialmente un token de certificado de re-staking respaldado por liquidez emitido por Kelp DAO, donde cada rsETH tiene un ETH en la garantía subyacente y en el sistema de re-staking. La ruta es "ETH - Lido - EigenLayer - Kelp DAO - rsETH".

rsETH en la red principal es el token original de prueba de participación emitido por Kelp DAO en Ethereum. Para expandirse al ecosistema de Capa 2, Kelp DAO utilizará el contrato de puenteo entre cadenas de LayerZero (el mismo sistema involucrado en este incidente) para mapear rsETH de la red principal a varias soluciones de Capa 2. Por cada rsETH acuñado en la Capa 2, una cantidad equivalente de rsETH de la red principal se mantendrá en custodia en el contrato de Kelp DAO, y solo se liberará tras una transferencia entre cadenas de vuelta a la red principal.

Ahora, volvamos al incidente en sí. Como se mencionó anteriormente, el motivo del robo fue que el hacker, mediante el engaño a DVN, falsificó un mensaje entre cadenas, lo que provocó que el contrato puente "liberara por error" 116.500 rsETH; cabe señalar que esto no fue la creación de nuevos tokens de la nada, sino la liberación no autorizada de los tokens originales de prueba de participación de la red principal.

El problema radica en lo siguiente: estos tokens ya estaban circulando en la Capa 2 mediante mapeo, mientras que los tokens de la red principal se encontraban en un estado congelado. Sin embargo, tras el ataque, el hacker los depositó en protocolos como Aave, los pidió prestados contra WETH, que es más líquido, y escapó. Cabe destacar que el rsETH depositado es auténtico, de ahí el soporte de Aave para la garantía y los préstamos contra el token.

Ahora bien, releer la declaración de Aave resulta intrigante. La frase "rsETH de la red principal tiene amplio respaldo en Ethereum" significa esencialmente: " Estas monedas son todas reales, Kelp DAO, deberían ayudarnos a canjear ETH por estos tokens (contrato en pausa, el canje no es posible actualmente)... En cuanto al rsETH mapeado en la capa 2 que perdió su respaldo en la red principal, bueno, ¡ese no es mi problema! ".

Esta parece ser la postura de Aave. A pesar de hacer hincapié en el valor del rsETH de la red principal, ignorando así el valor del rsETH mapeado en la Capa 2, y dado que la propia Aave mantiene una importante posición de deuda en rsETH en sus productos de préstamos de la Capa 2 (valorada en aproximadamente 359 millones de dólares en tiempo real), esto podría generar deuda incobrable. Sin embargo, al optar por el mal menor, es probable que Aave evaluara los posibles impactos de ambas opciones y concluyera que preservar su producto principal en la red principal se ajusta a sus mejores intereses.

Sin embargo, esta es solo la perspectiva de Aave. La resolución final del incidente dependerá de que se llegue a un acuerdo con LayerZero y Kelp DAO.

Si bien esta última aún no ha hecho más declaraciones, personalmente creo que es poco probable que LayerZero acepte esta propuesta, ya que sacrificar el token vinculado a Layer 2 pondría en peligro directamente la reputación de LayerZero en la cadena cruzada.

Solución potencial

El problema tarde o temprano tendrá que resolverse. En los últimos días, varios expertos en redes sociales también han estado dando sugerencias a Aave, LayerZero y Kelp DAO.

El fundador de DefiLlama, 0xngmi, dedujo tres posibles caminos, pero también señaló fallos importantes en los tres. La primera opción implica que todos los poseedores de rsETH asuman colectivamente una pérdida del 18,5 % (proporción de tokens perdidos respecto al suministro total), con Kelp DAO asumiendo el impacto, y Aave también enfrentando alrededor de 216 millones de dólares en impagos en la red principal; la segunda opción es ignorar el valor de todos los rsETH vinculados a la Capa 2, lo que permite que el producto de la red principal de Aave permanezca intacto, pero es probable que la versión de la Capa 2 colapse y la reputación de Kelp DAO se vea dañada; la tercera opción es reembolsar completamente a los poseedores de rsETH anteriores al hackeo basándose en una instantánea, mientras que los compradores o cesionarios posteriores asumirían las pérdidas, pero debido al importante movimiento de fondos posterior al hackeo, esto es casi imposible de ejecutar en la realidad.

Yishi, fundador de OneKey, mencionó: " La mejor solución ahora sería negociar con el hacker, ofrecer una recompensa del 10-15%, recuperar la mayor parte y que todos queden satisfechos. Si la negociación fracasa, el fondo del ecosistema de LayerZero puede cubrir la mayor parte, ya que es el más rico y tiene el mayor interés a largo plazo, lo que permitirá preservar el ecosistema OFT. Kelp DAO es la opción más pobre, ya sea mediante la compensación en tokens más ingresos futuros, o simplemente vendiendo todo el proyecto a LayerZero o Bitmine. Umbrella de Aave y stkAAVE proporcionan la máxima garantía, pero los depositantes de WETH no deben asumir la pérdida, de lo contrario, Morpho, Spark, Fluid y Euler sufrirán una revalorización, la trayectoria del LRT se verá perjudicada y toda la industria DeFi retrocederá tres años.

En cualquier caso, es seguro que todas las partes seguirán debatiendo durante un tiempo, ya que hay miles de millones de dólares en juego y nadie quiere ser el principal perdedor.

En cuanto al tiempo necesario para ofrecer una solución, como ya se ha mencionado, ninguno de los dos gigantes está dispuesto a demorarse demasiado. LayerZero se encuentra actualmente en pausa forzosa por parte de las principales instituciones y protocolos colaboradores, y cualquier retraso adicional sin duda llevará a estos socios a cambiar sus rutas entre cadenas; la situación de Aave tampoco es optimista, con tasas de utilización de múltiples mercados monetarios ya al 100%, lo que deja a los depositantes en un estado de "atrapamiento"... Si ETH se desplomara repentinamente, Aave probablemente experimentaría más impagos debido a la incapacidad de liquidar de manera efectiva (que es el caso actualmente), lo que en última instancia provocaría un efecto bola de nieve que agravaría los problemas; al llegar a esta etapa, los cimientos de la industria podrían sufrir un golpe que claramente nadie querría ver.

Enlace al artículo original