Casi 300 millones de dólares en 10 minutos: un hacker desconocido vació las cuentas de uno de los mayores proyectos de criptomonedas
El equipo de Kelp DAO pausó el protocolo tras el robo de 116.000 tokens rsETH.
Una típica noche de sábado se convirtió para un proyecto cripto en una verdadera catástrofe. Un atacante desconocido logró retirar cientos de millones de dólares a través de un puente intercadena, y el ataque duró apenas minutos.
El ciberdelincuente retiró 116 500 tokens rsETH del protocolo Kelp DAO. Al tipo de cambio actual la suma alcanza aproximadamente 292 millones de dólares. El ataque ocurrió alrededor de las 17:35 UTC. La cartera controlada por el atacante invocó la función lzReceive en el contrato de LayerZero, tras lo cual el puente transfirió automáticamente los activos a otra dirección.
La cartera fue preparada con antelación. Aproximadamente 10 horas antes del ataque el atacante la financió a través del servicio Tornado Cash, que se usa con frecuencia para ocultar rastros en las finanzas descentralizadas.
El analista de cadena de bloques ZachXBT informó que las pérdidas podrían haber superado los 280 millones de dólares y que afectaron a las redes Ethereum y Arbitrum. Según él, las direcciones implicadas en el ataque también están vinculadas a Tornado Cash.
El equipo de Kelp DAO no reaccionó de inmediato, pero actuó con rapidez. 46 minutos después del ataque los desarrolladores detuvieron el funcionamiento de contratos clave. Se activó una pausa de emergencia que afectó al pool de depósitos, al contrato de retiro, al oráculo y al propio token rsETH. Más tarde, en un comunicado oficial el equipo confirmó actividad intercadena sospechosa y afirmó que suspendió operaciones en la red principal y en varias redes de segunda capa.
Según los registros de transacciones, el atacante intentó continuar con el ataque. Dos intentos adicionales [1,2] unos minutos después fracasaron. En ambos casos el sistema rechazó las operaciones. Se trató de un intento de retirar otros 40 000 rsETH, lo que habría añadido aproximadamente 100 millones de dólares al perjuicio. Si el ataque hubiera tenido éxito por completo, las pérdidas se habrían acercado a 391 millones de dólares.
El objetivo principal fue un puente intercadena del estándar OFT, que permite mover tokens entre distintas cadenas de bloques. El volumen robado representa alrededor del 18% de la circulación total de rsETH, que se estima en aproximadamente 630 000 tokens. El activo se utiliza en más de 20 redes, incluidas Base, Arbitrum, Linea, Blast, Mantle y Scroll.
El incidente también afectó a otros proyectos. El token AAVE cayó aproximadamente un 10% ante el temor de que la plataforma de préstamos pudiera afrontar créditos incobrables. El equipo de Aave congeló los mercados rsETH en las versiones V3 y V4 del protocolo y subrayó que la vulnerabilidad está relacionada con rsETH, no con sus contratos inteligentes. En Aave también indicaron que están analizando los préstamos concedidos tras el ataque y que estudian formas de cubrir el posible déficit.