El sector DeFi vivió su mayor crisis de seguridad del año en abril de 2026. El 18 de abril de 2026, aproximadamente a las 17:35 (UTC), el puente cross-chain rsETH de Kelp DAO, construido sobre LayerZero, sufrió un ataque a gran escala. El atacante acuñó cerca de 116 500 rsETH de la nada en la red principal de Ethereum, valorados en unos 292 millones de dólares en ese momento (alrededor del 18 % del suministro total en circulación de rsETH). Este incidente no solo se convirtió en el mayor ataque de seguridad DeFi individual de 2026, sino que también desató una ola de fuga de capital en toda la industria. El valor total bloqueado (TVL) de DeFi cayó de unos 110 000 millones de dólares al inicio de 2026 a cerca de 82 400 millones, una caída del 25 % hasta su nivel más bajo en un año. A diferencia de ataques anteriores centrados en un solo protocolo, este evento puso de manifiesto el efecto compuesto de tres grandes vulnerabilidades: riesgos de configuración en infraestructuras cross-chain, fallos en la lógica de colateralización del restaking y la estructura altamente interconectada de los protocolos DeFi. Esta triple amenaza exige un análisis riguroso a nivel sectorial.
El ataque se desarrolló en solo 46 minutos
El ataque comenzó el 18 de abril de 2026 a las 17:35 (UTC). Tras obtener fondos iniciales a través de Tornado Cash, el atacante llamó a la función lzReceive en el contrato EndpointV2 de LayerZero, enviando un mensaje cross-chain falsificado al contrato puente de Kelp DAO en la red principal de Ethereum. Este mensaje afirmaba falsamente que los activos rsETH estaban bloqueados en la cadena de origen y solicitaba la liberación de una cantidad equivalente en la cadena destino. El contrato no verificó rigurosamente la cadena de origen del mensaje cross-chain y ejecutó la liberación, transfiriendo 116 500 rsETH a una dirección controlada por el atacante.
El verdadero peligro residía en el siguiente movimiento del atacante. En lugar de vender rsETH en mercados secundarios (donde la liquidez era escasa y las ventas grandes provocarían un fuerte deslizamiento), el hacker depositó los activos como colateral en los principales protocolos de préstamos como Aave V3 y V4, y Compound V3, obteniendo préstamos por aproximadamente 236 millones de dólares en WETH/ETH reales.
Aproximadamente 46 minutos después del inicio del incidente, Kelp DAO activó una pausa de emergencia mediante multisig, bloqueando con éxito dos intentos adicionales de extraer unos 80 000 rsETH más y evitando pérdidas adicionales. Posteriormente, Aave congeló urgentemente todos los mercados relacionados con rsETH en V3 y V4, y varios protocolos (incluyendo Ethena, Curve Finance y ether.fi) suspendieron o congelaron funciones cross-chain relacionadas con LayerZero.
Cronología del ataque
| Hora (UTC) | Evento |
|---|---|
| 17:35 | El atacante inicia la primera transacción cross-chain falsificada y acuña con éxito 116 500 rsETH |
| 17:35–17:40 | El atacante deposita rsETH en lotes en Aave y otros protocolos de préstamos, y toma prestado WETH/ETH |
| ~18:20 | Kelp DAO activa la pausa de emergencia del contrato vía multisig, intercepta ataques adicionales |
| Horas después del ataque | Aave congela los mercados de rsETH; varios protocolos suspenden funciones de LayerZero |
Panorama on-chain: presión sobre el TVL de las 20 principales blockchains
Según los últimos datos de DeFiLlama (al 21 de abril de 2026), el TVL total de DeFi cayó a unos 82 400 millones de dólares tras el ataque, una disminución diaria de alrededor del 5,6 %. Esta caída diaria se encuentra entre el 2 % más severo desde 2024. Por sectores, los mercados de préstamos fueron los más afectados, con una caída del TVL de aproximadamente el 13 %; el staking líquido descendió cerca del 3,4 %; y los exchanges descentralizados y protocolos de derivados registraron descensos entre el 2 % y el 3 %.
Ethereum, que representa el 53,91 % del TVL total de DeFi, experimentó una caída del 17,91 % en el TVL durante los últimos 30 días. El TVL actual se sitúa en unos 46 170 millones de dólares, muy por debajo de los más de 56 000 millones previos al ataque. Entre las 20 principales blockchains, solo unas pocas mostraron un ligero crecimiento positivo, mientras que la mayoría sufrieron retrocesos mensuales, con una aceleración de la salida de capital tras el incidente.
En primer lugar, el ataque intensificó una tendencia preexistente de salida de capital. La caída mensual de Ethereum alcanzó el 17,91 %, tras haber estado ya bajo presión por una disminución general del apetito de riesgo en el mercado. En segundo lugar, algunas blockchains mostraron ligeros repuntes semanales (por ejemplo, Sei +7,85 % en 7 días; PulseChain -0,24 % en 7 días pero +13,77 % mensual), lo que indica que el capital no abandonaba por completo el ecosistema, sino que se reasignaba para gestionar el riesgo. En tercer lugar, los descensos mensuales más pronunciados se dieron en cadenas estrechamente vinculadas al ecosistema de restaking de Ethereum o a infraestructuras de puentes cross-chain, como Mantle (-52,01 %), Ethereal (-18,55 %) y Hyperliquid L1 (-17,73 %), reflejando las ondas de choque dirigidas a través del acoplamiento de protocolos.
Causa raíz: configuración de punto único ignorada
La vulnerabilidad central de este ataque no fue un bug en el contrato inteligente, sino una mala configuración en los parámetros de despliegue. El contrato cross-chain rsETH de Kelp DAO utilizaba una configuración 1/1 DVN (Decentralized Verifier Network), lo que significa que un solo nodo verificador podía aprobar mensajes cross-chain. Por el contrario, la documentación oficial de LayerZero recomienda una configuración por defecto de múltiples verificadores (2/2).
El recorrido técnico del atacante fue: primero, obtuvo la lista de nodos RPC utilizada por el DVN de LayerZero, comprometió dos clusters RPC independientes y reemplazó sus binarios op-geth. Después, falsificó selectivamente las respuestas (enviando paquetes de datos maliciosos solo al DVN, mientras devolvía datos reales a otras IPs para evitar ser detectado). Simultáneamente, lanzó ataques DDoS sobre los nodos RPC no comprometidos, forzando al DVN a recurrir a los nodos contaminados. Tras validar el mensaje falsificado, los binarios maliciosos se autodestruyeron para borrar los registros.
El informe posterior al incidente de LayerZero Labs atribuyó preliminarmente el ataque al grupo TraderTraitor, parte del Lazarus Group de Corea del Norte, vinculado también al ataque contra Drift Protocol ocurrido a principios de mes. LayerZero enfatizó que este incidente solo afectó la configuración rsETH de Kelp DAO; otras aplicaciones con redundancia multi-DVN no se vieron afectadas y el protocolo en sí no presentaba vulnerabilidades.
Disputas sobre la responsabilidad
Tras el incidente, surgieron rápidamente disputas entre Kelp DAO, LayerZero y Aave sobre la responsabilidad. LayerZero argumentó que el uso por parte de Kelp DAO de una configuración 1/1 DVN fue la causa directa (un "punto único de fallo" con una falla fundamental). El fundador de Kelp DAO, Charlie, admitió en X que el equipo había utilizado erróneamente la configuración 1/1 DVN y aseguró que compensarían plenamente a todos los usuarios afectados, rechazando explícitamente el temido enfoque de "pérdida socializada".
Por su parte, el desarrollador principal de Yearn Finance, banteg, cuestionó la caracterización de LayerZero del evento como "envenenamiento RPC", argumentando que el atacante había vulnerado el límite de confianza de LayerZero y que la gravedad estaba subestimada. Analistas independientes señalaron que, aunque Kelp DAO eligió la configuración 1/1 DVN, como diseñador del protocolo cross-chain subyacente, LayerZero también tiene cierta responsabilidad arquitectónica.
Cabe destacar que el antiguo equipo de riesgos de Aave, BGD Labs, había señalado el problema de configuración del DVN de Kelp DAO ya en enero del año pasado. Sin embargo, aunque Kelp aceptó el consejo, no realizó cambios sustanciales y Aave no continuó monitorizando la situación. Esta historia pone de manifiesto una desconexión estructural entre la emisión de advertencias de seguridad y su implementación efectiva.
Impacto sectorial: deuda incobrable en Aave y contagio entre protocolos
Aave fue el protocolo más afectado por el incidente. El atacante utilizó rsETH robados como colateral para obtener préstamos de ETH en Aave, generando entre 177 y 196 millones de dólares en deuda incobrable que no pudo recuperarse mediante los mecanismos de liquidación estándar. La utilización de ETH en varios mercados de Aave V3 alcanzó el 100 % de forma temporal, desatando una oleada de retiradas.
En las 48 horas posteriores al ataque, el TVL de Aave cayó de unos 26 400 millones de dólares a 17 000 millones, un flujo de salida récord de 9 450 millones en el corto plazo, la mayor salida de la historia del protocolo. El precio del token AAVE descendió entre un 10 % y casi un 20 % tras el evento.
A fecha 21 de abril de 2026, los datos de mercado de Gate muestran: AAVE cotiza en torno a 105,73 dólares y ETH cerca de 2 309 dólares. Todos los precios se basan en datos en tiempo real de la plataforma Gate, expresados en USD.
Lista de contagio
Más allá de Aave, varios protocolos importantes tomaron medidas de emergencia. Ethena extendió la suspensión de su puente OFT de LayerZero; Curve Finance pausó la infraestructura de LayerZero, afectando el puente de CRV desde BNB, Sonic, Avalanche y otras cadenas; ether.fi y Tron DAO también congelaron sus puentes OFT de LayerZero; SparkLend y Fluid congelaron simultáneamente posiciones relacionadas con rsETH. Compound V3 asumió unos 39,4 millones de dólares en deuda incobrable y Euler cerca de 840 000 dólares.
Esta reacción en cadena puso de manifiesto una vulnerabilidad estructural en DeFi: los activos envueltos tipo LRT (como rsETH) dependen fundamentalmente de la seguridad del puente. Cuando los principales protocolos de préstamos aceptan estos activos de alto riesgo como colateral, cualquier explotación subyacente puede propagarse instantáneamente a través de las conexiones entre protocolos en todo el ecosistema de préstamos. La "componibilidad tipo Lego" de DeFi amplifica la transmisión de riesgos de manera altamente asimétrica.
Tres vías para gestionar la deuda incobrable—y un dilema
El fundador de DeFiLlama, 0xngmi, describió tres escenarios posibles para resolver las consecuencias de Kelp DAO:
Vía 1: Pérdidas socializadas. Kelp DAO aplica un recorte uniforme de aproximadamente el 18,5 % a todos los holders de rsETH. En este caso, todas las posiciones de colateral rsETH en Aave mainnet se eliminan, generando unos 216 millones de dólares en deuda incobrable. El protocolo Umbrella puede cubrir unos 55 millones, la tesorería de Aave absorbería otros 85 millones y quedaría un déficit de 76 millones que Kelp DAO tendría que cubrir mediante préstamos o venta de tokens.
Vía 2: Abandonar usuarios L2. Kelp DAO solo protege a los holders de rsETH en la red principal, considerando rsETH en L2 como sin valor. Aave L2 mantiene actualmente unos 359 millones de dólares en colateral rsETH; si todos están apalancados al máximo, esto generaría cerca de 341 millones en deuda incobrable, sin cobertura del protocolo Umbrella. Aave probablemente abandonaría los mercados L2 más afectados, como Arbitrum, Mantle y Base.
Vía 3: Reembolso por snapshot previo al ataque. Kelp DAO compensa totalmente solo a quienes poseían rsETH antes del ataque, según un snapshot, mientras que los compradores o receptores posteriores asumen la pérdida. Sin embargo, dado que los fondos se movieron extensamente tras el ataque y los protocolos DeFi funcionan como pools de liquidez, es prácticamente imposible distinguir entre depositantes de diferentes lotes, haciendo esta opción técnicamente inviable.
Cada vía tiene ventajas e inconvenientes: la vía 1 es la más equitativa, pero impone una carga financiera considerable tanto a la tesorería de Aave como a Kelp DAO; la vía 2 minimiza el impacto en la red principal de Aave, pero daña gravemente la credibilidad del ecosistema L2 y desencadena más contagio; la vía 3 limita teóricamente la propagación, pero es casi imposible de ejecutar. A fecha 21 de abril de 2026, aunque el fundador de Kelp DAO ha prometido compensar plenamente a los usuarios, los detalles del plan de compensación y las fuentes de financiación siguen sin revelarse y la resolución final permanece incierta.
Conclusión
El ataque al puente de Kelp DAO, con una pérdida de 292 millones de dólares en un solo evento, desencadenó la mayor salida sistémica de capital en DeFi en 2026. El TVL de las 20 principales blockchains cayó de forma generalizada, Aave sufrió retiradas multimillonarias y varios protocolos importantes activaron congelaciones de emergencia, dibujando un panorama de contracción de liquidez a nivel sectorial.
Más allá de la cifra, el problema central del incidente no fue un bug aislado en un contrato inteligente, sino la combinación de vulnerabilidades por mala configuración de infraestructuras cross-chain, fallos en la lógica de colateralización del restaking y un alto grado de acoplamiento entre protocolos. Los riesgos de validación de punto único, desalineación de activos LRT y lagunas en las auditorías de seguridad respecto a configuraciones forman un conjunto de desafíos estructurales interrelacionados.
Desde la perspectiva de seguridad, la industria necesita urgentemente estándares de auditoría full-stack que cubran tanto el código de los contratos inteligentes como la configuración de parámetros de despliegue y la arquitectura de validación cross-chain. Los alcances de auditoría obligatoria deberían incluir la configuración de umbrales DVN y la redundancia de nodos RPC. Para los usuarios, participar en protocolos de restaking debe implicar no solo evaluar los rendimientos, sino también examinar la configuración de seguridad del puente (como el número de validadores y umbrales), la transparencia de reservas de activos subyacentes y el historial del equipo del protocolo en la gestión de incidentes de seguridad previos.
La salud a largo plazo de DeFi depende no solo de la liquidez sostenida y el crecimiento de los rendimientos, sino de mejoras sistemáticas en la infraestructura de seguridad y mecanismos de aislamiento de riesgos. Cada gran incidente de seguridad expone vulnerabilidades estructurales y sirve como prueba de estrés para la gobernanza sectorial y la respuesta ante crisis. La historia completa del incidente de Kelp DAO sigue en desarrollo. La eficacia de su gestión posterior y las reformas institucionales determinarán si este evento marca un punto de inflexión en la madurez de DeFi o queda como otro fallo de seguridad olvidado.
