El reciente incidente de seguridad que afectó a KelpDAO, con un valor de 293 millones de dólares, se ha convertido en un caso de estudio fundamental para el ecosistema DeFi. Demuestra de manera contundente cómo la visibilidad temprana y la monitorización activa pueden alterar drásticamente el resultado de un evento de riesgo en tiempo real, ofreciendo una ventana de oportunidad crítica para la mitigación antes de que el daño se vuelva sistémico.
Anatomía de un Ataque Coordinado
El 18 de abril, atacantes vinculados a Corea del Norte explotaron el puente de KelpDAO, logrando sustraer 116,500 ETH restaked (rsETH). Inmediatamente después, los atacantes comenzaron a utilizar estos activos como colateral para tomar prestado WETH en el protocolo de lending Aave. Este movimiento estratégico dejó a los protocolos integrados y a los prestamistas con una estrecha ventana de 77 minutos para detectar la anomalía, evaluar su exposición y reaccionar antes de que el contagio se extendiera por el ecosistema.
Cronología del Incidente vs. Detección Temprana
La secuencia de eventos muestra claramente dónde se produjeron las señales de alerta clave, mucho antes de que el mercado en general se percatara del problema.
T+0 | La Fuga
116,500 rsETH son liberados desde el puente a una nueva dirección financiada a través de Tornado Cash.
🟢 Alerta de Extractor: Interacción Sospechosa + Transferencia de Gran Volumen.
T+15 | El Ataque
El atacante deposita los rsETH en Aave en tramos crecientes, tomando prestado WETH con un LTV del 98.9% a través de 6 direcciones correlacionadas.
🟢 Alerta de Extractor: Préstamo de Alto Valor + Pico de Utilización.
T+40 | El Depeg
La paridad rsETH/ETH se desvía bruscamente de la tasa del oráculo en los DEXs. Esta es la primera señal visible para el mercado general.
🟢 Alerta de Extractor: Monitor de Depeg de Precios.
T+77 | La Respuesta
El multisig de KelpDAO ejecuta transacciones para pausar el protocolo, deteniendo la sangría.
🟢 Alerta de Extractor: Monitor de Pausa de Protocolo.
Conclusión Clave: La Primera Señal No es el Depeg
La lección más importante del incidente de KelpDAO es que la primera señal útil de un ataque rara vez es la pérdida de paridad (depeg). En este caso, la señal crítica fue la liberación anómala de fondos del puente, casi una hora antes de que el precio se viera afectado. Las plataformas de monitorización avanzada conectan estas señales dispares —actividad de puentes, comportamiento de préstamos, acciones de protocolo y precios en DEX— para construir una imagen de riesgo en tiempo real. Esto proporciona a los equipos una visibilidad anticipada para actuar antes de que el mercado comprenda la magnitud del problema.
Actores Clave en el Incidente
Para comprender el contexto completo, es esencial conocer a las entidades involucradas en este evento de seguridad.
KelpDAO
- Descripción: Protocolo de Liquid Restaking (LRT) construido sobre EigenLayer.
- Equipo Principal: Impulsado por Stader Labs (Fundadores: Amitej Gajjala, Dheeraj Borra).
- Fundación: 2023 (Stader Labs en 2021).
- Inversores (Stader): Pantera Capital, Coinbase Ventures, Jump Capital.
- Enlaces: Web, X (Twitter), LinkedIn
Aave
- Descripción: Uno de los mayores protocolos de lending y borrowing descentralizado.
- Fundador: Stani Kulechov.
- Fundación: 2017 (como ETHLend).
- Sede: Londres, Reino Unido.
- Enlaces: Web, X (Twitter), LinkedIn
Extractor (by Hacken)
- Descripción: Plataforma de monitorización on-chain y seguridad post-lanzamiento.
- Empresa Matriz: Hacken.
- Fundación (Hacken): 2017.
- Sede: Tallinn, Estonia.
- Enlaces: Web, X (Twitter), LinkedIn
En resumen, mientras que una auditoría de seguridad como las que realiza Hacken es fundamental para asegurar la estructura del código antes del lanzamiento, herramientas como Extractor son vitales para proteger un protocolo después de su despliegue. La seguridad en DeFi es un proceso continuo que exige una vigilancia constante y la capacidad de interpretar las señales correctas en el momento oportuno.
Ignacio Ferrer-Bonsoms, abogado digital, https://bacsociety.com/
