El CTO de Ripple destaca los riesgos de seguridad del puente tras el ataque a Kelp DAO por $290 millones

David Schwartz, CTO Emeritus de Ripple, dijo que la explotación de Kelp DAO refleja un problema más amplio en la infraestructura entre cadenas. Él dijo que muchos sistemas de puente ofrecen protecciones sólidas, pero a menudo se anima a los equipos a usar configuraciones más simples que reducen los costos operativos. Sus comentarios llegaron después de que el puente rsETH de Kelp DAO fuera explotado el 18 de abril, con aproximadamente 116.500 rsETH drenados en una de las pérdidas más grandes de DeFi en 2026 hasta ahora. Sus observaciones pusieron nuevamente la atención en cómo los operadores de puentes equilibran velocidad, costo y seguridad al implementar productos vinculados a grandes pozos de valor.

David Schwartz dijo que evaluó múltiples sistemas de puente DeFi al revisar opciones para RLUSD, con la mayor parte de su enfoque centrado en el riesgo y la seguridad. Escribió que muchos de los sistemas parecían bien diseñados e incluían mecanismos que podrían abordar el tipo de fallo visto en el caso de Kelp DAO.

Él añadió que el problema no siempre era la ausencia de herramientas de seguridad. En cambio, los proveedores a menudo promovían la facilidad de implementación y la expansión rápida de la cadena de formas que asumían que los proyectos evitarían las protecciones más sólidas. En las últimas noticias sobre XRP relacionadas con la planificación de la stablecoin de Ripple, Schwartz presentó este compromiso como una debilidad recurrente en las implementaciones de puente.

El puente rsETH de Kelp DAO fue explotado el 18 de abril, con una pérdida de aproximadamente $290 millones a $292 millones. Los informes públicos y incident analysis indicaron que el atacante drenó 116.500 rsETH a través de actividad de puente relacionada con LayerZero, convirtiendo esta explotación en la brecha DeFi más grande de 2026 hasta la fecha.

Las revisiones técnicas publicadas tras el ataque señalaron un sistema de verificación débil como problema central. Un análisis ampliamente citado indicó que la configuración del puente dependía de un modelo de verificador uno-de-uno, creando un punto único de fallo que permitió que un mensaje falsificado liberara activos de depósito. Esa estructura se ha convertido en central en la discusión sobre si la brecha se debió a que no se utilizaron completamente los ajustes de seguridad opcionales.

Tras la explotación de Kelp DAO, el valor total bloqueado de Aave cayó bruscamente, ya que se informó que los atacantes utilizaron rsETH robado como garantía para tomar prestado wETH en Aave v3. Aave congeló luego varios mercados de rsETH y wETH tras el incidente, que dejó al protocolo expuesto a una deuda morosa estimada de $195 millones.

Schwartz dijo que tenía una “sensación rara” de que parte del problema podría implicar que Kelp DAO no utilizara las funciones de seguridad clave de LayerZero por conveniencia. Sus comentarios coincidieron con preocupaciones más amplias de que algunos equipos de puentes adoptan configuraciones más ligeras durante las etapas iniciales de crecimiento y posponen controles más fuertes hasta más adelante.

Esa perspectiva añade otra capa a la cobertura actual de las noticias de XRP, ya que RLUSD aún se está evaluando teniendo en cuenta el riesgo de infraestructura. Los comentarios de Schwartz sugieren que la revisión interna de Ripple otorgó un peso significativo a cómo se configuran los sistemas de puente en la práctica, no solo a cómo lucen en el papel.

Por lo tanto, la explotación ha desencadenado un debate más amplio sobre quién debería asumir la responsabilidad por el diseño seguro de los puentes. Algunos desarrolladores argumentan que las aplicaciones necesitan flexibilidad para elegir su propio modelo de verificación, mientras que los críticos dicen que la libertad puede generar presión para adoptar valores predeterminados más débiles que son más fáciles de lanzar y mantener.