El protocolo de préstamos Aave registra una salida masiva de capital que asciende a 5.400 millones de dólares en ether (ETH) —aproximadamente 2,3 millones de unidades— tras confirmarse un exploit en el puente de Kelp DAO, ocurrido ayer, 18 de abril de 2026.
Como consecuencia de este hecho, la tasa de utilización de ETH en Aave llegó al 100%, mientras el token de gobernanza AAVE se desploma un 20% en las últimas 24 horas.
La secuencia de eventos inició el sábado 18 de abril, cuando un atacante logró vulnerar el puente intercadena (cross-chain) de Kelp DAO, el cual utiliza la infraestructura de mensajería de LayerZero. El perpetrador drenó 116.500 rsETH (ether restakeado líquido), lo que representa el 18% del suministro circulante total del token.
El valor de lo sustraído asciende a 292 millones de dólares, convirtiéndose en el mayor hackeo DeFi en lo que va de 2026, superando el ataque sufrido por el protocolo Drift que, tal como reportó CriptoNoticias, ocurrió el pasado 1 de abril.
El atacante utilizó una vulnerabilidad en la lógica de validación de LayerZero para engañar al puente de Kelp DAO. Mediante el envío de instrucciones de mensajería falsificadas, el protocolo interpretó como válida una orden de liberación de fondos desde otra red, lo que resultó en la transferencia masiva de rsETH a direcciones controladas por el hacker.
ZachXBT, investigador on-chain, confirmó quelas direcciones del atacante fueron financiadas originalmente a través de Tornado Cash, dificultando el rastreo inicial de la identidad del perpetrador. A pesar de que el sistema de pausa de emergencia de Kelp DAO congeló los contratos, el atacante ya había asegurado el botín principal.
El impacto en Aave ha sido sistémico debido a la integración de rsETH como colateral en los mercados de la versión 3 (V3) y la recientemente lanzada versión 4 (V4). Al comprometerse el respaldo del token rsETH —que depende de las reservas en el puente ahora drenado—, se generó un riesgo inmediato de deuda incobrable (bad debt) para Aave.
Aave Labs actuó de manera reactiva:
- Congelación de mercados: Se suspendieron todas las operaciones con rsETH para evitar nuevos depósitos o toma de préstamos contra este activo.
- Bloqueo de WETH: Stani Kulechov, fundador de Aave, confirmó la congelación preventiva de los mercados de Wrapped Ether (WETH) como medida de contención para proteger la solvencia del protocolo.
Sin embargo, estas medidas no evitaron la «corrida bancaria». La incertidumbre sobre la paridad de rsETH y la solvencia de los fondos en Aave provocó una salida masiva de activos. Esta fuga masiva ha drenado las reservas disponibles de ETH en el protocolo, llevando la tasa de utilización al 100%.
Una tasa de utilización del 100% significa que todo el ETH depositado en Aave está actualmente prestado. En este estado, los depositantes que aún mantienen fondos en el protocolo no pueden retirar su capital ni cerrar posiciones que requieran la devolución de ETH, creando un bloqueo de liquidez.
El mercado ha reaccionado con severidad. Tal como se observa en la imagen a continuación, el precio del token AAVE cotiza actualmente con una pérdida del 20% en las últimas 24 horas, reflejando el temor de los inversionistas.
La crisis también ha exacerbado tensiones políticas dentro de la gobernanza de Aave. En el foro oficial del protocolo, usuarios y delegados han cuestionado el rol de figuras clave. Críticas dirigidas hacia Marc Zeller, de la Aave Chan Initiative (ACI), sugieren una fractura en la toma de decisiones tras la pérdida de influencia frente a Aave Labs.
En un giro inesperado, Justin Sun, fundador de la red Tron, publicó un mensaje directo al atacante a través de X: «Hacker de KelpDAO, ¿cuánto quieres? Hablemos. No vale la pena sacrificar Aave y KelpDAO por esto. De todas formas, no puedes gastar 300 millones de dólares».
Este intento de negociación busca convertir el exploit en un «hackeo de sombrero blanco», donde el atacante devuelve la mayoría de los fondos a cambio de una recompensa y la promesa de no emprender acciones legales. Hasta el momento, no hay confirmación de respuesta por parte de las direcciones vinculadas al robo.
