Este fin de semana, pasará a la historia como el momento en que el modelo de seguridad de las Finanzas Descentralizadas (DeFi) colapsó bajo el peso de su propia complejidad, luego que un exploit de 292 millones de dólares contra Kelp DAO se convirtiera en una onda de choque que afectó a todo el ecosistema.
Earlier today we identified suspicious cross-chain activity involving rsETH. We have paused rsETH contracts across mainnet and several L2s while we investigate.
We are working with @LayerZero_Core, @unichain, our auditors and top security experts on RCA.
We will keep you…
— Kelp (@KelpDAO) April 18, 2026
El ciberataque contra Kelp DAO es ya el mayor robo del año, tras haber superando los 285 millones de dólares sustraídos a Drift Protocol apenas semanas atrás pero además, se comportó como una falla sistémica que ha expuesto la fragilidad de un ecosistema construido sobre capas de riesgo mal calculadas.
Lo que comenzó como una brecha en un puente cross-chain ha mutado en un contagio que ha borrado más de 6.000 millones de dólares en valor total bloqueado (TVL, «por sus siglas en inglés») y ha puesto de rodillas a la columna vertebral de la industria, el protocolo y el ecosistema Aave.
🚨 $293M EXPLOIT DETECTED: Cyvers AI systems have identified a massive attack on @KelpDAO .
Our platform flagged the breach in real-time, tracking ~$293.7M drained from the protocol’s RSETH Adapter. Currently, ~$250M has already been swapped to $ETH and is held across two… pic.twitter.com/E2bnoZh0Eu
— 🚨 Cyvers Alerts 🚨 (@CyversAlerts) April 18, 2026
A diferencia de otros ataques históricos, el desastre de Kelp no fue producto de un error matemático en un contrato inteligente ni de una vulnerabilidad en el código core de LayerZero, porque según los análisis técnicos preliminares de firmas como Cyvers y expertos como cryptogoblin, el atacante explotó una negligencia en la Capa de Verificación.
Kelp DAO utilizaba una configuración de Red de Verificadores Descentralizada (DVN, «por sus siglas en inglés») extremadamente laxa, sobre todo en un ecosistema que presume de descentralización, así que la configuración de seguridad de Kelp actuó como un punto único de falla permitiendo al atacante engañar a la capa de mensajería para que validara una instrucción falsa, permitiendo la “materialización” de 116.500 rsETH de la nada en la red principal de Ethereum.
Una analogía que recorre las redes sociales es tan cruda como exacta, al señalar que el LayerZero proporcionó los planos de una caja fuerte inexpugnable, pero Kelp decidió instalarla sin cerradura por una cuestión de “flexibilidad” operativa, lo que dejó como resultado, la pérdida de casi el 18% del suministro circulante del token de restaking líquido (LRT).
El genio malvado de este ataque no residió en el drenaje del puente, sino en lo que el atacante hizo después, ya que en lugar de intentar vender los rsETH robados en mercados descentralizados —donde el deslizamiento de precios (slippage) habría alertado al mercado y reducido sus ganancias—, el hacker utilizó los tokens como un Caballo de Troya en los protocolos de préstamo.
De manera que, el astuto ciberpirata depositó los rsETH robados en Aave V3, Compound y Euler como colateral para pedir un préstamo, debido a que estos protocolos aceptaban rsETH como un activo de alta calidad bajo la premisa de su paridad 1:1 con Ether, el atacante pudo pedir prestado WETH (Wrapped Ether) real y “limpio” contra un colateral que ya no tenía respaldo.
Este movimiento inyectó 236 millones de dólares en deuda incobrable de forma instantánea en el sistema, por lo que para cuando el equipo de Aave y otros protocolos (cómo SparkLend, Fluid, Lido y Ethena) reaccionaron congelando los mercados, el atacante ya había “extraído” el valor real de los protocolos de préstamo, dejando a los depositantes legítimos con un agujero contable masivo.
Las repercusiones en Aave han sido devastadoras, porque el TVL del protocolo se desplomó un 23%, cayendo de 26.400 millones a casi 20.000 millones de dólares en menos de 24 horas, debido a que los usuarios, temiendo que la reserva Umbrella no sea lo suficiente para cubrir el déficit de 196 millones de dólares específicos de Aave, se lanzaron a una retirada masiva de fondos.
Update on rsETH incident:
According to our analysis, rsETH on Ethereum mainnet is fully backed.
Out of an abundance of caution, rsETH remains frozen across Aave V3 and V4 and exposure to the incident is capped.
WETH reserves also remain frozen across affected markets including…
— Aave (@aave) April 19, 2026
El pánico se intensificó cuando los depositantes de ETH descubrieron que no podían retirar sus activos porque el fondo común de liquidez estaba siendo utilizado para sostener los préstamos del atacante y por eso Aave en su cuenta oficial de la red social X, comunicó que estaban conteniendo y mitigando el impacto de este ciberataque a Kelp DAO dentro de su ecosistema.
Esto ha sido lo más parecido a una “corrida bancaria pero cripto”, donde los usuarios se vieron obligados a pedir prestadas stablecoins para intentar “rescatar” el valor de sus activos bloqueados, disparando las comisiones diarias a niveles astronómicos de casi 2 millones de dólares.
El token AAVE ha sufrido un desplome del 16% al 18%, reflejando no solo la pérdida de capital, sino el temor a que los tenedores de stkAAVE tengan que absorber las pérdidas, diluyendo el valor del ecosistema para salvar la solvencia del protocolo.
Como si el colapso de DeFi no fuera suficiente, el incidente de Kelp coincidió con el derrumbe del 90% del token RAVE de RaveDAO que aunque son eventos distintos en origen, ambos comparten el mismo síntoma de una industria enferma, la concentración de poder y la falta de transparencia.
De hecho, las investigaciones de Binance y Bitget sobre la manipulación del mercado de RAVE han terminado de hundir la moral del inversor, llevando a muchos a declarar, de forma quizás prematura pero comprensible, que “DeFi está herido de muerte y pronto estará acabado”.
OK — Kelpdao hacker, how much you want? Let’s just talk. With KelpDAO’s help, of course. It’s simply not worth it to sacrifice both Aave and KelpDAO and let them go down over this hack. You can’t spend $300 million anyway.
— H.E. Justin Sun 👨🚀 🌞 (@justinsuntron) April 19, 2026
La intervención de figuras como Justin Sun, ofreciendo recompensas y pidiendo diálogo al hacker de Kelp, subraya la desesperación de los grandes actores. Saben que si Kelp y Aave no logran recuperar la confianza, el modelo de “eficiencia de capital” de los tokens de restaking líquido (LRT, «por sus siglas en inglés») podría quedar prohibido de facto por los gestores de riesgo institucionales.
Es por ello, que los analistas señalan que este cataclismo pone fin a la era de la ingenuidad en el restaking, dejando lecciones amargas pero necesarias, como el Mito de la Seguridad Heredada, ya que porque solo un protocolo corra sobre Ethereum o use LayerZero no significa que sea seguro, así que se debe comprender que la configuración individual de cada proyecto es el eslabón más débil.
Asimismo, el Riesgo de los Oráculos y Puentes, porque en el DeFi se ha ignorado sistemáticamente el riesgo de los puentes al valorar el colateral, tan sólo basta ver cómo Aave aceptó rsETH basándose en su rendimiento, no en la robustez del puente que lo respaldaba.
Y finalmente, hoy día es más que evidente que existe una Necesidad de Estándares Mínimos para la industria cripto, donde todas las infraestructuras críticas del DeFi, manejen mecanismos homogéneos de seguridad y que la interconexión en los puentes permita al vuelo bloquear fondos si existe un ataque en algún punto del ecosistema.
No obstante, hemos sido testigos del colapso de la arquitectura DeFi tal como la conocíamos en 2025, debido a que el contagio ha tocado a más de nueve protocolos y ha expuesto que la interconectividad, que antes se celebraba como “legos de dinero”, es en realidad una mecha que puede incendiar todo el edificio financiero en minutos.
En todo caso, el camino a la recuperación de Kelp DAO parece inexistente sin un rescate masivo o una devolución milagrosa de los fondos. En cuanto a Aave, este es el mayor desafío de gobernanza de su historia, por lo que Stani Kulechov, fundador de Aave, se enfocó en indicado que este exploit fue externo a Aave y que los contratos del protocolo nunca fueron comprometidos por estas acciones.
Sin embargo, todos los usuarios apuntan a que Aave aceptó un token de liquid restaking como colateral, y el respaldo de ese token desapareció en un puente que Aave no controla, haciendo que los depositantes del protocolo salgan perdiendo de cualquier manera.
Ahora mismo, quedará por Aave tiene capacidad para cubrir la deuda incobrable lo que determinará si sigue siendo la “columna vertebral de DeFi” o al contrario quedará relegada al olvido.
Sin duda este lunes ha comenzado la semana más difícil para una industria DeFi, con millones de dólares en pérdidas, muchas dudas en los protocolos de LRT pero con una pregunta que sigue repitiéndose cada vez más en las redes: si DeFi como la descentralización definitiva de las finanzas no puede garantizar la seguridad básica de la propiedad, ¿Cuál es el propósito de su existencia? Una respuesta, que solo la podremos tener con el tiempo.