El 18 de abril de 2026, a las 17:35 (UTC), un atacante explotó el puente cross-chain de rsETH de KelpDAO, basado en LayerZero, y robó 116 500 rsETH—valorados en aproximadamente 292 millones de dólares—en solo 46 minutos. El giro clave del ataque fue que el hacker no liquidó estos activos airdropeados directamente en mercados secundarios: la liquidez de rsETH era demasiado escasa para una venta masiva. En su lugar, el atacante depositó los tokens robados como garantía en los principales protocolos de préstamos, como Aave V3, Compound V3 y Euler, obteniendo préstamos por unos 236 millones de dólares en WETH/ETH reales.
Este ataque no se debió a un bug tradicional en un smart contract, sino a una mala configuración a nivel de parámetros de despliegue. La implementación cross-chain de LayerZero V2 de KelpDAO utilizaba una configuración 1/1 de DVN (Decentralized Verification Network), lo que significa que un solo nodo validador podía aprobar mensajes entre cadenas. Una vez comprometido ese nodo DVN, el atacante obtuvo la capacidad de falsificar mensajes cross-chain arbitrarios, "minting from thin air". Más preocupante aún, según Dune Analytics, el 47 % de las OApps de LayerZero en ese momento usaban la misma configuración 1/1 de DVN, poniendo en riesgo más de 4,5 mil millones de dólares en activos. Esto implica que el incidente de KelpDAO no solo expuso un problema aislado, sino una vulnerabilidad estructural que afecta a toda la capa de infraestructura cross-chain.
Cómo se desencadenó la reacción en cadena: de la garantía colateralizada a la deuda incobrable
Tras depositar el rsETH falsificado en varios protocolos de préstamos, Aave V3 fue el más expuesto. Los datos on-chain muestran que unos 89 567 rsETH (aproximadamente 221 millones de dólares) se usaron como garantía en Aave, lo que permitió préstamos de unos 82 650 WETH (alrededor de 191 millones de dólares). Como el rsETH implicado fue generado de la nada en el origen, una vez utilizado como colateral, el préstamo entero dejó de tener una base legítima de liquidación.
Sin embargo, conviene precisar que el código de Aave no fue vulnerado. La lógica de préstamos del protocolo siguió funcionando como estaba prevista; el problema residía en el valor subyacente de la garantía. Tras el ataque al puente cross-chain, el respaldo fundamental de esos tokens rsETH desapareció. Aave congeló inmediatamente todos los mercados relacionados con rsETH, estableció el loan-to-value (LTV) en cero e hizo ajustes de emergencia en su modelo de tipos de interés. Pero para entonces, la deuda incobrable ya era un hecho. Según un informe de incidente de LlamaRisk, proveedor de servicios de Aave y firma de gestión de riesgos, dependiendo del escenario de asignación de pérdidas, Aave afronta entre 124 y 230 millones de dólares en deuda incobrable. La cifra más citada, 200 millones de dólares, corresponde a la pérdida neta principal derivada del incidente.
Por qué las vulnerabilidades de validación en un solo punto son un punto ciego estructural para la seguridad del sector
La principal diferencia entre el incidente de KelpDAO y otras brechas de seguridad DeFi es que no existía una vulnerabilidad de código fuente que auditar. El problema no estaba en los archivos .sol, sino en un parámetro de despliegue: el umbral DVN, configurado al implementar el protocolo. Este parámetro queda fuera del alcance de herramientas de análisis estático como Slither o Mythril, eficaces para detectar patrones conocidos de código como ataques de reentrancy, pero prácticamente inútiles ante riesgos de configuración. Cuando toda la atención de las "auditorías de smart contracts" se centra en la corrección del código, parámetros de despliegue como la configuración DVN se convierten en una zona roja dentro de la matriz de seguridad.
La filosofía de diseño de LayerZero V2 delega las decisiones de seguridad en la capa de aplicación. En teoría, esto aumenta la flexibilidad, pero en la práctica, los proyectos suelen optar por el modo 1/1 más extremo por comodidad. Cuando los mecanismos de seguridad pueden "configurarse fuera", los límites de la auditoría se desplazan hacia fuera. El incidente de KelpDAO pone de relieve una contradicción central: los protocolos cross-chain ofrecen capacidades multi-validador, pero los proyectos a menudo renuncian a estas protecciones redundantes en favor de la facilidad de uso. Actualmente, el sector carece de un proceso estandarizado de revisión de seguridad de configuraciones que cubra este vacío.
Cómo el pánico de mercado y las retiradas de liquidez se intensificaron
Tras conocerse la noticia, el pánico de mercado se tradujo rápidamente en una huida real de capital. A 27 de abril de 2026, según datos de mercado de Gate, los precios de los tokens relacionados con el incidente sufrieron una gran volatilidad y el sector DeFi en su conjunto se vio presionado. En las 48 horas posteriores al evento, Aave registró salidas netas de depósitos por unos 8,45 mil millones de dólares, con el TVL cayendo de unos 26,4 mil millones a 17,9 mil millones de dólares. En todo el ecosistema DeFi, el total de valor bloqueado (TVL) descendió en unos 13,21 mil millones de dólares en el mismo periodo, de aproximadamente 99,5 mil millones a 86,3 mil millones.
Es importante señalar que una caída del TVL no equivale a una pérdida de activos de igual magnitud. Algunos análisis indican que una parte significativa de las salidas se debió a liquidaciones en cascada de posiciones altamente apalancadas y a retiradas de instituciones aversas al riesgo, no a que todos los activos fueran "destruidos". Aun así, el shock reveló un problema más profundo: cuando el pool principal de un protocolo líder de préstamos se vacía y la utilización de capital roza el 100 %, las solicitudes de retirada de los usuarios habituales no pueden ser atendidas. Esta vez, Aave no fue el origen del riesgo, pero al tener una alta proporción de rsETH como colateral, se vio arrastrado al epicentro de la crisis.
Rastreando el camino de blanqueo del atacante y los detalles técnicos de la acción de congelación de Arb
Tras explotar la vulnerabilidad de KelpDAO, el atacante se movió rápidamente para ocultar los fondos robados mediante múltiples capas. Los fondos iniciales procedían de Tornado Cash; el atacante recibió 1 ETH del mixer unas 10 horas antes del incidente. Tras el robo, distribuyó los beneficios entre varios protocolos de préstamos y luego los transfirió a canales cross-chain.
El 20 de abril, el Security Council de Arbitrum ejerció poderes de emergencia, identificando unos 30 765 ETH (entonces valorados en unos 71,5 millones de dólares) en posesión del atacante y ejecutando una operación técnica para transferir y congelar los activos en una dirección segura. Esta acción marcó un hito en el rastreo de activos on-chain: demostró que los consejos de seguridad de redes de capa 2 pueden, bajo ciertas condiciones, intervenir en el movimiento de fondos. El atacante reaccionó con rapidez: en pocas horas tras la congelación, unos 75 700 ETH (alrededor de 175 millones de dólares) se dispersaron en dos nuevas carteras. Un análisis on-chain posterior reveló que aproximadamente 1,5 millones de dólares en fondos robados se habían transferido de Ethereum a Bitcoin a través de Thorchain, y otros fondos se ocultaron usando herramientas de privacidad como Umbra. Esto demuestra que el atacante pretendía sacar completamente los fondos robados del ecosistema trazable de Ethereum.
Recuperación comunitaria y cómo se está abordando la deuda incobrable de 200 millones de dólares de Aave
Ante un déficit de unos 200 millones de dólares, el fundador de Aave lideró la creación de un fondo de recuperación a escala sectorial llamado DeFi United. A 26 de abril, según datos de Arkham, DeFi United había recaudado más de 160 millones de dólares, cubriendo cerca del 80 % del déficit. Los principales contribuyentes fueron las comunidades de Mantle y Aave, que donaron conjuntamente 55 000 ETH—unos 127 millones de dólares en ese momento.
El propio fundador de Aave, Stani Kulechov, donó 5 000 ETH. Instituciones como Golem Foundation, Ether.fi y Lido DAO también se comprometieron a aportar diferentes cantidades. Más importante aún, Aave Labs, junto con Kelp DAO, LayerZero, Ether.fi, Compound y otros grandes protocolos, presentaron una propuesta constitucional a Arbitrum DAO para desbloquear los 30 765 ETH congelados (unos 71,5 millones de dólares) e inyectarlos en el fondo de recuperación DeFi United. Si se aseguran todas las contribuciones, el tamaño total de DeFi United superará los 236 millones de dólares, suficiente para cubrir por completo la deuda incobrable actual.
Cabe señalar que este proceso de gobernanza se prevé que dure unos 49 días, y varios compromisos de financiación importantes aún requieren la aprobación mediante votación DAO, por lo que el resultado sigue siendo incierto.
La paradoja entre la seguridad cross-chain y la gobernanza de las finanzas descentralizadas
El incidente de KelpDAO ha impulsado una reflexión más profunda en el sector: la seguridad de los puentes cross-chain sigue siendo un problema estructural difícil de resolver por completo. Antes del ataque, hasta el 47 % de las aplicaciones descentralizadas integradas con LayerZero usaban la configuración 1/1 de DVN. No fue solo una decisión aislada de KelpDAO, sino un reflejo sistémico de la preferencia histórica del ecosistema por la comodidad frente a la redundancia en seguridad. En escenarios cross-chain, la confianza ya no reside solo en el código del smart contract, sino también en los parámetros de despliegue y la seguridad operativa de las redes de nodos validadores, factores a menudo fuera del alcance de las auditorías convencionales.
Por otro lado, la congelación de activos por parte del Security Council de Arbitrum ha puesto en primer plano una paradoja de larga data: cuando una red de capa 2 "descentralizada" tiene la capacidad técnica de intervenir—en esencia, una "puerta trasera" a nivel de código—¿en qué se diferencia de un custodio centralizado? Si los activos de los usuarios pueden ser bloqueados on-chain por un consejo de seguridad, la narrativa "trustless" de las finanzas descentralizadas queda fundamentalmente cuestionada.
Este incidente ha dejado de ser una crisis de seguridad de un solo proyecto para convertirse en una prueba de estrés colectiva de los cimientos institucionales de DeFi.
Conclusión
El hackeo a KelpDAO es, hasta la fecha, el mayor incidente de seguridad DeFi de 2026, con pérdidas de unos 292 millones de dólares. Sin embargo, sus efectos secundarios van mucho más allá: Aave vio retiradas por 8,45 mil millones de dólares en 48 horas, y el TVL de todo el ecosistema DeFi cayó en más de 13 mil millones de dólares. La causa raíz no fue un bug en un smart contract, sino una mala configuración de validación en un solo punto en el puente cross-chain, una vulnerabilidad que aún persiste en muchos protocolos del sector.
Mediante la creación del fondo de recuperación DeFi United, Aave ya ha recaudado más de 160 millones de dólares, cubriendo cerca del 80 % de la deuda incobrable, y se ha unido a otros cinco grandes protocolos para presentar una propuesta constitucional a Arbitrum DAO con el fin de desbloquear los activos congelados. A 27 de abril de 2026, DeFi United sigue a la espera del resultado de varias votaciones de gobernanza. Independientemente de cómo se resuelvan finalmente los 200 millones de dólares en deuda incobrable, el incidente de KelpDAO se ha convertido en un punto de inflexión para DeFi, marcando el paso de "el código es la ley" a "la gobernanza es la protección".
Preguntas frecuentes (FAQ)
P: ¿Cuál fue la vulnerabilidad fundamental en el ataque a KelpDAO?
El problema central no fue un bug en el smart contract, sino una mala configuración de DVN en la solución cross-chain de LayerZero. KelpDAO utilizó una configuración de nodo validador único (1/1), por lo que, una vez comprometido ese nodo, el atacante pudo falsificar mensajes cross-chain y generar rsETH de la nada. Fue un evento de seguridad sistémico causado por la ruptura del modelo de confianza cross-chain combinada con errores de configuración.
P: ¿Cuánto perdió realmente Aave en el incidente?
Aave no fue atacado directamente, pero como rsETH se usó como colateral, el atacante pudo pedir prestadas grandes cantidades de WETH. Según el escenario de asignación de pérdidas, la deuda incobrable de Aave se estima entre 124 y 230 millones de dólares, siendo la cifra más citada unos 200 millones. A 27 de abril, DeFi United había recaudado más de 160 millones de dólares, cubriendo cerca del 80 % del déficit.
P: ¿Se pueden recuperar los fondos robados?
Algunos fondos han sido congelados. El Security Council de Arbitrum logró congelar unos 30 765 ETH (alrededor de 71,5 millones de dólares) en posesión del atacante, pero este ya ha movido unos 75 700 ETH a nuevas carteras y ha transferido fondos a la red Bitcoin a través de Thorchain y otras herramientas, lo que dificulta su recuperación.
P: ¿Son seguros otros protocolos que usan LayerZero?
No necesariamente. Los datos de Dune Analytics muestran que, antes del ataque a KelpDAO, el 47 % de las OApps de LayerZero usaban la misma configuración 1/1 de DVN, afectando a más de 4,5 mil millones de dólares en activos. Cada protocolo debe revisar de forma independiente su configuración DVN, y el sector está promoviendo la migración de configuraciones de validador único a multi-validador.
