El 18 de abril de 2026, el puente cross-chain de rsETH de KelpDAO, basado en LayerZero, sufrió un ataque de gran magnitud. En solo 46 minutos, el atacante sustrajo 116 500 rsETH—unos 292 millones de dólares—convirtiéndose en el mayor incidente de seguridad DeFi del año hasta la fecha. A diferencia de los exploits tradicionales sobre contratos inteligentes, este ataque se debió a un fallo sistémico en el modelo de confianza cross-chain. KelpDAO utilizaba la solución de puente LayerZero OFT, que depende de una DVN (Decentralized Verification Network) para su seguridad. Sin embargo, KelpDAO configuró un esquema 1/1 en la DVN, lo que significa que la firma de un solo nodo era suficiente para validar mensajes cross-chain como "auténticos". Por el contrario, la documentación oficial de LayerZero recomienda por defecto una configuración multisig 2/2. El atacante aprovechó esta configuración de nodo único mediante ingeniería social, comprometió el nodo y falsificó mensajes cross-chain para "acuñar de la nada", liberando rsETH en Ethereum Mainnet sin ningún respaldo real de activos.
La investigación preliminar de LayerZero tras el incidente atribuyó el ataque al subgrupo TraderTraitor del Lazarus Group de Corea del Norte. El atacante contaminó los nodos RPC subordinados a la DVN y utilizó ataques DDoS para forzar la conmutación por error, engañando al validador para que confirmara que "no se había producido ninguna transacción" antes de inyectar mensajes falsificados. Esta vía técnica revela un problema estructural más profundo: cuando la seguridad de un puente cross-chain depende completamente de un solo nodo validador, ese nodo se convierte en el talón de Aquiles del sistema.
Cómo el rsETH robado generó una deuda incobrable masiva en Aave
El atacante depositó el rsETH recién acuñado como colateral en plataformas de préstamos como Aave y tomó prestados activos reales contra él. Dado que ese rsETH carecía de respaldo legítimo, estos préstamos generaron un riesgo de deuda incobrable masiva para los prestamistas. El análisis on-chain muestra que, en los despliegues L2 de Aave, se utilizó como colateral un valor aproximado de 359 millones de dólares en rsETH (según precios de oráculo). Si estas posiciones estuvieran totalmente apalancadas, la deuda incobrable teórica podría alcanzar unos 341 millones de dólares, fuera del alcance de cobertura del protocolo Umbrella.
Esto no fue un fallo en el código del contrato inteligente de Aave, sino una reacción en cadena sistémica provocada por "confianza mal depositada en los activos colaterales". Una vez que tokens sin respaldo legítimo entraron en los pools de préstamos, todos los usuarios que dependían de esos pools quedaron expuestos a un potencial riesgo de insolvencia. La composabilidad de DeFi es aquí un arma de doble filo: aunque permite una eficiencia de capital fluida entre protocolos, el colapso de confianza en un solo eslabón puede propagarse instantáneamente por todo el ecosistema.
Cómo el pánico provocó una caída de 13 200 millones de dólares en el TVL
El miedo se tradujo rápidamente en una fuga masiva de capital. Según DefiLlama, el TVL total de DeFi cayó de 99 497 millones de dólares a 86 286 millones en las últimas 48 horas, lo que supone una reducción de unos 13 200 millones. Solo Aave registró retiradas por valor de 8 450 millones, reduciendo su TVL a 17 947 millones. A 20 de abril, el TVL de DeFi había descendido aún más, hasta unos 82 400 millones, lo que representa una caída del 25 % respecto a los 110 000 millones del inicio de 2026.
Las retiradas se concentraron en protocolos de préstamos, restaking y yield, con plataformas como Euler y Sentora sufriendo pérdidas de TVL de dos dígitos porcentuales. Curiosamente, los precios de los tokens se mantuvieron relativamente estables: AAVE cayó apenas un 2,5 % en las últimas 24 horas, mientras que UNI y LINK bajaron menos de un 1 %. Esta divergencia entre la huida de capital y la evolución de precios sugiere que el mercado aún no ha descontado plenamente el impacto a largo plazo del suceso: las retiradas reflejan un pánico de liquidez, mientras que los holders de tokens podrían estar esperando a ver cómo se resuelve la deuda incobrable.
Qué significa el bloqueo de 71 millones de dólares por parte del Security Council de Arbitrum
El 21 de abril de 2026, el Security Council de Arbitrum tomó medidas de emergencia, transfiriendo 30 766 ETH (unos 71 millones de dólares, aproximadamente una cuarta parte del total sustraído) desde la cartera del atacante a una cartera intermedia controlada por la gobernanza y congelando los fondos. Esto se ejecutó mediante una transacción de sistema ArbitrumUnsignedTxType, un método que no puede ser firmado por EOAs normales y solo puede ser inyectado por el Security Council a través de ArbOS.
Esta intervención lanzó dos mensajes importantes. Primero, demostró la capacidad de la capa de gobernanza L2 para actuar en situaciones de emergencia, un hito en la hoja de ruta del escalado de Layer 2. Segundo, una intervención de gobernanza sobre fondos de usuarios es extremadamente rara y controvertida en ecosistemas on-chain, ya que introduce un control discrecional en una red diseñada para ser permissionless. Arbitrum subrayó que la acción se basó en la confirmación de la identidad del atacante por parte de las autoridades y que no afectó a usuarios o aplicaciones legítimas. Sin embargo, este precedente plantea una cuestión de fondo: cuando redes "permissionless" se enfrentan a "atacantes estatales", ¿dónde deben establecerse los límites de la gobernanza descentralizada?
Por qué el fundador de Curve advirtió públicamente sobre los modelos de préstamo no aislados
Michael Egorov, fundador de Curve Finance, publicó una declaración tras el incidente, señalando los riesgos potenciales del modelo actual de "préstamos no aislados" que la crisis de deuda incobrable de KelpDAO ha puesto de manifiesto. Aunque este modelo ofrece alta escalabilidad, argumentó que implica un riesgo elevado y requiere marcos de gestión de activos más estrictos. Egorov incidió además en que muchos incidentes de seguridad recientes, evitables, se debieron a puntos únicos de fallo centralizados, y que la prevención es preferible a las soluciones post-incidente. Hizo un llamamiento a la Ethereum Foundation y a la Solana Foundation para liderar la creación de estándares unificados de seguridad DeFi.
Egorov señaló específicamente los modelos de préstamo completamente aislados o híbridos como alternativas, y sugirió que la arquitectura "hub and spoke" prevista para Aave v4 podría impulsar a los protocolos de préstamos hacia una mayor seguridad. Su análisis va al núcleo del dilema histórico de DeFi: el equilibrio entre eficiencia de capital y aislamiento del riesgo. Los modelos no aislados permiten el libre flujo de capital entre protocolos, aumentando la eficiencia, pero también posibilitan que una crisis de confianza en un solo activo se propague rápidamente por toda la red de préstamos. En esencia, Egorov plantea la pregunta: ¿ha llegado DeFi al punto en que sacrificar parte de la eficiencia es necesario para la estabilidad sistémica?
Tres vías para resolver la deuda incobrable de Aave y sus costes estructurales
0xngmi, fundador de DeFiLlama, expuso tres posibles caminos para que KelpDAO afronte las consecuencias, cada uno con sus propios compromisos.
Opción 1: Socializar las pérdidas reduciendo los saldos de todos los holders de rsETH en un 18,5 %. Si todo el colateral rsETH de Aave se gestionara así, se generaría una deuda incobrable de unos 216 millones de dólares. El protocolo Umbrella cubriría 55 millones, el tesoro de Aave absorbería 85 millones, quedando un déficit de 76 millones. Este enfoque reparte las pérdidas entre todos los usuarios, pero socava fundamentalmente la confianza en la seguridad de los activos del protocolo.
Opción 2: Proteger solo el rsETH en Ethereum Mainnet, considerando todo el rsETH en L2 como sin valor. En los L2 de Aave, el colateral rsETH está valorado en unos 359 millones de dólares; si se apalanca al máximo, la deuda incobrable podría alcanzar 341 millones, sin cobertura de Umbrella. Aave tendría que recurrir a su tesoro o endeudarse para rescatar parte del mercado y podría abandonar las cadenas más afectadas—Arbitrum, Mantle y Base—provocando su colapso. Esta opción reduce el impacto directo en Aave Mainnet, pero daña gravemente la reputación de todo el ecosistema L2.
Opción 3: Restaurar las asignaciones de activos según un snapshot anterior al ataque, reembolsando íntegramente solo a las direcciones que tenían rsETH en el momento del incidente. Los compradores o receptores posteriores asumirían las pérdidas. Incluso tras la cobertura de Umbrella, quedarían unos 91 millones de dólares en pérdidas. Sin embargo, debido a la rápida movilidad de fondos tras el ataque y a la naturaleza intrínsecamente agrupada de los protocolos DeFi, es casi imposible distinguir técnicamente entre diferentes lotes de fondos depositados, lo que dificulta enormemente la implementación de esta opción.
Por qué abril de 2026 marca un punto de inflexión en la seguridad DeFi
El incidente de KelpDAO no fue un hecho aislado. Solo en los primeros 20 días de abril de 2026, los protocolos cripto sufrieron más de 606 millones de dólares en pérdidas por hackers, el peor mes desde febrero de 2025. El 1 de abril, Drift Protocol, el mayor exchange de perpetuos en Solana, perdió 285 millones de dólares en solo 12 minutos. Juntos, KelpDAO y Drift suman alrededor del 95 % de las pérdidas de este mes.
Los datos del informe anual de seguridad 2025 de SlowMist ofrecen una perspectiva a largo plazo: en 2025 hubo 200 incidentes de seguridad, con pérdidas de 2 935 millones de dólares. Aunque el número de incidentes cayó un 51 % respecto a 2024, las pérdidas totales aumentaron en torno a un 46 %. Los proyectos DeFi fueron los más atacados, con 126 incidentes (63 % del total) y 649 millones de dólares en pérdidas.
En conjunto, estas cifras muestran una tendencia clara: los atacantes están cambiando de "cantidad" a "calidad", con menos incidentes, pérdidas unitarias mayores y métodos de ataque más complejos. En el caso de KelpDAO, el atacante explotó una asunción de confianza a nivel de configuración, no una vulnerabilidad de código. Esta escalada en los vectores de ataque implica que las auditorías de seguridad tradicionales ya no bastan para afrontar el panorama actual de amenazas.
Conclusión
El exploit cross-chain de KelpDAO es el mayor shock de seguridad DeFi de 2026. Ha puesto de manifiesto la fragilidad fundamental de las arquitecturas de validadores de nodo único en modelos de confianza cross-chain, ha demostrado cómo una crisis de activos puede propagarse rápidamente por el ecosistema composable de DeFi y ha trasladado la presión de riesgo al mercado de préstamos a través de la exposición a deuda incobrable de Aave. La intervención de emergencia del Security Council de Arbitrum abrió una vía limitada para la recuperación de activos, pero también encendió un debate más profundo sobre los límites de la gobernanza descentralizada.
Las advertencias de Egorov sobre los préstamos no aislados y su llamamiento a estándares de seguridad sectoriales reflejan un momento clave de introspección estructural para DeFi. La tensión entre eficiencia de capital y seguridad sistémica nunca ha sido tan aguda: la lógica del "Lego composable" que impulsó el rápido crecimiento de DeFi está siendo sometida a una prueba de estrés tras los recientes colapsos de confianza. La oleada de incidentes de seguridad de alto perfil en abril de 2026 lanza un mensaje claro: si los protocolos DeFi no implementan mecanismos de aislamiento del riesgo sistémico, cada exploit "evitable" seguirá erosionando los cimientos de confianza a largo plazo del sector.
Preguntas frecuentes (FAQ)
P: ¿Cuál fue la pérdida financiera directa por el ataque a KelpDAO?
El atacante sustrajo 116 500 rsETH, con pérdidas estimadas en 292 millones de dólares según los precios de mercado en ese momento. El Security Council de Arbitrum ha congelado unos 71 millones de dólares de los activos robados, aproximadamente una cuarta parte del total.
P: ¿Cuál es el riesgo máximo actual de deuda incobrable para Aave?
Dependiendo de la estrategia de resolución, la exposición de Aave a deuda incobrable oscila entre 123,7 millones y 341 millones de dólares. Si las pérdidas se limitan a los L2, la deuda incobrable podría alcanzar unos 341 millones, sin cobertura de Umbrella.
P: ¿En qué se diferencia este ataque de otros incidentes de seguridad DeFi?
La causa raíz no fue una vulnerabilidad en el código del contrato inteligente, sino un problema de configuración en el puente cross-chain: la utilización por parte de KelpDAO de una validación DVN de nodo único (1/1) implicaba que comprometer un validador suponía el colapso total de la confianza cross-chain.
P: ¿Qué recomendaciones concretas hizo Egorov de Curve?
Egorov pidió la creación de estándares unificados de seguridad DeFi, sugirió reducir los puntos únicos de fallo, abogó por mecanismos para distribuir la confianza cuando sean necesarias soluciones centralizadas y urgió a las fundaciones de Ethereum y Solana a liderar el desarrollo de principios de diseño y estándares de verificación en seguridad.
P: ¿Qué provocó la fuerte caída del TVL en DeFi?
Dos factores principales: los protocolos congelaron proactivamente los mercados afectados para controlar el riesgo y se produjeron retiradas masivas de usuarios por pánico. En conjunto, esto provocó salidas de dos dígitos porcentuales en protocolos de préstamos, restaking y yield, con un TVL total que pasó de unos 110 000 millones de dólares a principios de año a alrededor de 82 400 millones.
P: ¿Cuáles son las implicaciones a largo plazo de este incidente para DeFi?
El evento ha puesto de relieve fallos estructurales en los modelos de préstamo no aislados y en las arquitecturas de confianza cross-chain, y podría llevar al sector a priorizar el aislamiento del riesgo sistémico sobre la eficiencia máxima de capital. Desarrollos como el modelo "hub and spoke" de Aave v4 y los debates sobre estándares de seguridad unificados, mencionados por Egorov, podrían convertirse en áreas clave a seguir en el futuro.
