KelpDAO golpeada por un ataque: Cómo Aave bloqueó el 80% de 200 millones de dólares en préstamos incobrables

18 de abril de 2026 UTC 17:35, los atacantes aprovecharon el puente cross-chain rsETH basado en LayerZero de KelpDAO, y en aproximadamente 46 minutos robaron 116,500 rsETH, valorados en unos 292 millones de dólares. La gravedad del ataque radica en que los hackers no vendieron directamente estos activos distribuidos por aire en el mercado secundario —la liquidez de rsETH no era suficiente para soportar ventas a gran escala— sino que los usaron como colateral en protocolos de préstamos líderes como Aave V3, Compound V3 y Euler, prestando aproximadamente 236 millones de dólares en WETH/ETH reales.

El origen del ataque no fue una vulnerabilidad en el código de contratos inteligentes tradicional, sino un error de configuración en los parámetros de despliegue. KelpDAO utilizó en su solución cross-chain LayerZero V2 una configuración DVN (Red de Validación Descentralizada) 1/1 —solo un nodo de validación necesita confirmar para liberar mensajes cross-chain. Cuando ese nodo DVN fue comprometido, los atacantes obtuvieron la capacidad de falsificar cualquier mensaje cross-chain, logrando así “crear dinero de la nada”. Más alarmante aún, según Dune Analytics, el 47% de las aplicaciones descentralizadas (OApps) en LayerZero en ese momento usaban también la misma configuración DVN 1/1, involucrando activos por más de 4.5 mil millones de dólares. Esto significa que el incidente de KelpDAO no es un problema aislado de un proyecto, sino una vulnerabilidad estructural que afecta toda la infraestructura cross-chain.

Cómo funciona la cadena de transmisión desde colateral de préstamos hasta acumulación de deudas incobrables

Tras falsificar rsETH, los atacantes lo depositaron en varios protocolos de préstamo, siendo Aave V3 quien asumió la mayor exposición. Los datos en la cadena muestran que aproximadamente 89,567 rsETH (unos 221 millones de dólares) se usaron como colateral en Aave, y se prestaron unos 82,650 WETH (unos 191 millones de dólares). Dado que el rsETH involucrado fue creado de la nada en origen, estos activos falsos, al usarse como garantía, invalidan la base legal para la liquidación del préstamo.

No obstante, estrictamente hablando, el código de Aave no fue vulnerado. La lógica de préstamo y colateral sigue funcionando normalmente; el problema radica en que el valor subyacente de esos rsETH se rompió tras el robo en el puente cross-chain. Aave congeló inmediatamente todos los mercados relacionados con rsETH, puso en cero el ratio de préstamo a valor (LTV) y ajustó de emergencia su modelo de tasas. Pero en ese momento, la deuda incobrable ya era un hecho. Según el informe de incidentes publicado por el proveedor de servicios de Aave y la firma de gestión de riesgos LlamaRisk, en función de diferentes esquemas de distribución de pérdidas, el monto de la deuda incobrable enfrentada por Aave oscila entre 124 millones y 230 millones de dólares. La brecha ampliamente citada de 200 millones refleja la pérdida neta central causada por el evento.

Por qué la vulnerabilidad en la validación de punto único se convierte en una ceguera estructural en la seguridad del sector

La diferencia principal entre el incidente de KelpDAO y otras vulnerabilidades de seguridad en DeFi es que: en el nivel del código fuente no hay errores auditables. La falla de KelpDAO no está en los archivos .sol, sino en un parámetro de configuración en el despliegue —el umbral DVN—. Este no está dentro del alcance de herramientas de análisis estático como Slither o Mythril, que detectan vulnerabilidades conocidas en patrones de código (como reentradas), pero su cobertura en riesgos de configuración es casi nula. Cuando toda la atención en la “auditoría de contratos inteligentes” se centra en verificar que el código sea correcto, parámetros de despliegue como la configuración DVN se convierten en zonas ciegas rojas en la matriz de seguridad.

El diseño de LayerZero V2 delega la toma de decisiones de seguridad a la capa de aplicación, lo cual en teoría respeta la flexibilidad, pero en la práctica: los proyectos optaron por el modo extremo 1/1 en este espectro de libertad. Cuando un mecanismo de seguridad puede ser “configurado” o desactivado, los límites de la auditoría se expanden forzosamente. El incidente de KelpDAO revela una contradicción central: los protocolos cross-chain ofrecen capacidades de validación múltiple, pero los proyectos, por conveniencia, suelen renunciar a estas protecciones redundantes; además, la industria carece aún de un proceso estandarizado de auditoría de seguridad en configuraciones, para cerrar esta brecha.

Cómo se amplifica el pánico del mercado y la corrida de liquidez

Tras la noticia, el pánico en el mercado se convirtió rápidamente en una fuga de fondos tangible. Hasta el 27 de abril de 2026, según datos de Gate, los precios de los tokens relacionados mostraron volatilidad significativa respecto a antes del evento, presionando el sector DeFi en su conjunto. En las 48 horas posteriores, Aave registró una salida neta de depósitos de aproximadamente 8.45 mil millones de dólares, con TVL (valor total bloqueado) cayendo de unos 26.4 mil millones a unos 17.9 mil millones de dólares. La suma del ecosistema DeFi en ese período cayó en unos 13.21 mil millones, de aproximadamente 99.5 mil millones a unos 86.3 mil millones de dólares.

Cabe señalar que la caída en TVL no equivale a una pérdida equivalente en activos. Algunos análisis indican que una proporción significativa de la salida proviene de liquidaciones en posiciones apalancadas y de retiros por parte de fondos institucionales que buscan reducir riesgos, no de destrucción total de activos. Sin embargo, el impacto revela un problema profundo: cuando un pool principal de un protocolo de préstamos se vacía y la utilización de fondos se acerca al 100%, muchas solicitudes de retiro normal de usuarios no pueden ser satisfechas. En esta ocasión, Aave no fue la fuente del riesgo, pero al tener en sus colaterales un alto porcentaje de rsETH, fue arrastrada al centro de la crisis.

Seguimiento técnico del lavado de dinero y acciones de congelación en Arb

Tras el robo, los atacantes realizaron operaciones de encubrimiento en múltiples niveles. La fuente inicial fue Tornado Cash, y antes del incidente, aproximadamente 10 horas antes, recibieron 1 ETH en un contrato de mezclado. Tras el robo, movieron los fondos entre varios protocolos de préstamo y canales cross-chain.

El 20 de abril, el comité de seguridad de Arbitrum usó poderes de emergencia para identificar y transferir aproximadamente 30,765 ETH (unos 71.5 millones de dólares) a una dirección segura, congelando esos fondos. Esto marca un hito en la trazabilidad en cadenas: demuestra que los comités de seguridad de Layer 2 tienen capacidad de intervenir en movimientos de fondos bajo ciertas condiciones. Pero la respuesta del atacante fue rápida: en pocas horas, aproximadamente 75,700 ETH (unos 175 millones de dólares) fueron redistribuidos a nuevas wallets, y algunos fondos, como unos 1.5 millones de dólares, cruzaron a Bitcoin vía Thorchain y otras herramientas de privacidad como Umbra, complicando aún más su rastreo y recuperación.

Caminos de autoayuda comunitaria y recuperación del agujero de 200 millones en Aave

Frente a un agujero de aproximadamente 200 millones de dólares, los fundadores de Aave lideraron la creación de un fondo de recuperación industrial llamado DeFi United. Hasta el 26 de abril, según datos de Arkham, DeFi United había recaudado más de 160 millones de dólares, cubriendo cerca del 80% del déficit. Los principales contribuyentes fueron las comunidades de Mantle y Aave, que donaron conjuntamente 55,000 ETH, valorados en unos 127 millones de dólares en ese momento.

Stani Kulechov, fundador de Aave, donó personalmente 5,000 ETH; instituciones como Golem Foundation, Ether.fi, Lido DAO también prometieron aportaciones. Además, Aave Labs, junto con Kelp DAO, LayerZero, Ether.fi, Compound y otros, presentaron una propuesta constitucional ante Arbitrum DAO para desbloquear los 30,765 ETH (unos 71.5 millones de dólares) que la seguridad de Arb había congelado, y transferir esos fondos al fondo de recuperación DeFi United. Si se logra, el fondo total superaría los 236 millones de dólares, cubriendo completamente el agujero actual.

Este proceso de gobernanza requiere aproximadamente 49 días y varias votaciones en diferentes DAOs, por lo que no todo está aún decidido.

La paradoja de la seguridad cross-chain y la gobernanza en DeFi

El incidente de KelpDAO ha provocado una reflexión más profunda en la industria: la seguridad en los puentes cross-chain sigue siendo un problema estructural difícil de resolver. Antes del ataque, el 47% de las aplicaciones en LayerZero usaban la configuración DVN 1/1, no solo en KelpDAO, sino en toda la red, evidenciando una tendencia sistémica a priorizar la conveniencia sobre la redundancia en seguridad. En escenarios cross-chain, la confianza ya no solo se basa en el código de los contratos, sino en los parámetros de despliegue y operación de los nodos validadores, que a menudo escapan a auditorías convencionales.

Simultáneamente, la acción del comité de seguridad de Arbitrum de congelar fondos pone en evidencia una paradoja duradera: si una red “descentralizada” de capa 2 puede intervenir en fondos en la cadena, ¿en qué se diferencia de un custodio centralizado? Si los fondos de los usuarios pueden ser bloqueados por un comité de seguridad en la cadena, la narrativa de “DeFi sin confianza” se resquebraja.

Este evento ya no es solo una crisis de un proyecto aislado, sino una prueba de resistencia a los fundamentos institucionales del sector DeFi.

Resumen

El ataque a KelpDAO es la mayor vulnerabilidad de seguridad en DeFi en 2026, con pérdidas cercanas a 292 millones de dólares, pero su impacto en cadena fue aún mayor: en 48 horas, Aave sufrió una salida de depósitos de 8.45 mil millones de dólares, y el TVL total de DeFi cayó en más de 130 mil millones. La raíz del problema no fue un error en el código de contratos, sino una configuración de validación en el puente cross-chain, que todavía está presente en muchos protocolos del sector.

Aave, mediante la creación del fondo de recuperación DeFi United, ha recaudado más de 160 millones de dólares, cubriendo aproximadamente el 80% del agujero, y junto con otros cinco protocolos presentó una propuesta para desbloquear los fondos congelados en Arbitrum. Hasta el 27 de abril de 2026, el proceso de gobernanza sigue en curso. Independientemente de cómo se gestione finalmente esa deuda de 200 millones, el incidente de KelpDAO marca un punto de inflexión en la transición de DeFi de “el código es ley” a “la gobernanza es la garantía”.

Preguntas frecuentes (FAQ)

Pregunta: ¿Cuál es la vulnerabilidad raíz del ataque a KelpDAO?

La vulnerabilidad principal no está en el código de contratos inteligentes, sino en la configuración DVN del esquema cross-chain LayerZero. KelpDAO usó un modo de validación 1/1, y si un atacante logra comprometer ese único nodo, puede falsificar mensajes cross-chain y crear rsETH de la nada. Es una falla en el modelo de confianza cross-chain combinada con un error de configuración que genera un evento de seguridad sistémico.

Pregunta: ¿Cuánto perdió realmente Aave en el incidente?

Aave no fue atacada directamente, pero dado que rsETH se usó como colateral, los atacantes lograron tomar prestado una gran cantidad de WETH. La estimación del monto de deuda incobrable varía entre 124 millones y 230 millones de dólares, con una cifra ampliamente citada de unos 200 millones. Hasta el 27 de abril, DeFi United había recaudado más de 160 millones, cubriendo cerca del 80% del déficit.

Pregunta: ¿Se pueden recuperar los fondos robados?

Algunos fondos ya fueron congelados: el comité de seguridad de Arbitrum logró bloquear aproximadamente 30,765 ETH (unos 71.5 millones de dólares). Sin embargo, los atacantes movieron unos 75,700 ETH a nuevas wallets y cruzaron fondos a Bitcoin vía Thorchain y herramientas de privacidad como Umbra, dificultando aún más su recuperación.

Pregunta: ¿Son seguros otros protocolos que usan LayerZero?

No necesariamente. Datos de Dune Analytics muestran que antes del ataque, el 47% de las aplicaciones en LayerZero usaban la misma configuración DVN 1/1, con activos por más de 4.5 mil millones de dólares. Cada protocolo debe revisar su configuración DVN de forma independiente. La industria está promoviendo migraciones hacia configuraciones con múltiples validadores para mejorar la seguridad.