El 18 de abril de 2026, atacantes comprometieron el puente intercadena de Kelp DAO y extrajeron 116.500 rsETH —el 18% del suministro circulante de ese token de restaking líquido—, equivalentes a 292 millones de dólares.
Se trató del mayor hackeo a un protocolo DeFi (siglas en inglés de «finanzas descentralizadas») del año. Pero, el robo fue solo el inicio de una reacción en cadena que terminaría golpeando a otras plataformas, con un daño especialmente notorio en Aave.
El exchange de bitcoin (BTC) y criptomonedas, Bitfinex, publicó este 24 de abril un análisis en el que describe el episodio como un ejemplo de manual sobre las vulnerabilidades sistémicas del ecosistema DeFi. Según la firma, lo ocurrido con Kelp no es solamente la historia de un puente comprometido: es una advertencia sobre cómo los fallos se propagan en DeFi y sobre dónde se ocultan los riesgos que los mercados no monitorean.
¿Qué pasó con Kelp DAO y cómo afectó a Aave?
Antes de pasar a las reflexiones de Bitfinex, es necesario entender bien cómo ocurrió el hackeo. Kelp DAO emite rsETH, un token que representa ether (ETH) en staking. Para mover ese token entre redes de criptomonedas, el protocolo utilizaba la infraestructura de mensajería de LayerZero con una configuración de Red de Verificadores Descentralizados (DVN) de 1 de 1: un único verificador responsable de validar los mensajes entre cadenas.
Los atacantes no fueron contra los contratos de restaking de Kelp. Fueron contra la infraestructura que alimentaba al verificador. Comprometieron dos nodos RPC que el DVN usaba, los reemplazaron con versiones que reportaban datos falsos y lanzaron un ataque de denegación de servicio (DDoS, por sus siglas en inglés) contra los nodos limpios restantes, forzando al verificador a leer solo las fuentes envenenadas.
El resultado: el sistema aceptó un mensaje falsificado que instruía liberar rsETH en Ethereum como si el token hubiera sido quemado en la red de origen. No lo había sido.
El contrato del puente obedeció y liberó los fondos. En horas, el rsETH sin respaldo real estaba circulando libremente.
Explica Bitfinex: «en cuestión de horas, los tokens robados se estaban utilizando como garantía en algunos de los protocolos de préstamos más importantes de DeFi, protocolos que no tenían nada que ver con el ataque original».
El atacante depositó los tokens como colateral en Aave —el mayor protocolo de préstamos descentralizados del mundo— y tomó prestados aproximadamente 190 millones de dólares en wrapped ether (WETH).
Aave no fue hackeado. Sus contratos operaron exactamente como estaban diseñados. Aun así, quedó expuesto a garantías que ya no representaban lo que el mercado suponía.
La reacción fue inmediata. Tal como lo explicó CriptoNoticias, la tasa de utilización de ETH en Aave llegó al 100%. El protocolo congeló mercados de rsETH y bloqueó preventivamente los de WETH.
El token AAVE cayó un 20% en 24 horas. En dos días, 8.000 millones de dólares habían salido del protocolo, según datos de DefiLlama. Las pérdidas por deuda incobrable se estiman en más de 100 millones de dólares.
rsETH, un token plenamente aceptado
Como bien señala Bitfinex, rsETH no era un token marginal. «Estaba integrado en múltiples protocolos, aceptado por marcos de riesgo, valorado por oráculos y utilizado por los depositantes en diversas estrategias apalancadas». Era, en todos los sentidos visibles del mercado, un activo legítimo.
Eso es precisamente lo que hace peligroso el fallo. La composabilidad de DeFi —la capacidad de que la salida de un protocolo sea la entrada de otro— es presentada habitualmente como una fortaleza del ecosistema. El caso Kelp muestra que también puede funcionar como vector de contagio: «cuando una entrada falla, el daño inevitablemente se propaga a través de las mismas conexiones».
Arbitrum, una de las redes de capa 2 afectadas, congeló 30.766 ETH vinculados al ataque mediante su Consejo de Seguridad. Esa intervención, señala Bitfinex, ilustra otro problema: una vez que el fallo se propaga, el resultado «ya no depende únicamente del código, sino también de la gobernanza y la intervención de emergencia», algo «muy controvertido en sistemas que se autodenominan descentralizados».
Una vez que esa infraestructura falla, el daño no se queda en el ámbito local. Se propaga a través de mercados interconectados, llega a lugares que nunca fueron atacados directamente y luego se ve influenciado por decisiones de gobernanza a veces cuestionables.
Bitfinex, exchange de criptomonedas.
La conclusión de Bitfinex apunta más allá de DeFi. Con la tokenización de bonos, depósitos y activos del mundo real ganando tracción institucional, la advertencia estructural es directa: «el punto más débil puede no estar en el mercado visible, sino en la infraestructura oculta bajo la superficie».
Todo activo tokenizado implica una promesa: que ese token representa realmente el activo subyacente. Esa promesa solo se sostiene si la infraestructura que vincula token y respaldo permanece intacta. En el caso de rsETH, esa vinculación se rompió sin que el token dejara de aparecer como válido en el registro contable.
«La credibilidad del rsETH dependía de una infraestructura que las comprobaciones de mercado habituales no lograban detectar», escribe Bitfinex. El token tenía liquidez, precio e integración con protocolos líderes. Lo que le faltaba era redundancia en la capa que determinaba si el ETH que representaba existía de verdad.
Independientemente de cómo se gestionen las consecuencias, una de las lecciones clave es que, una vez que los activos defectuosos entran en el mercado general, el resultado final ya no se limita solo al código.
Bitfinex, exchange de criptomonedas
Kelp y LayerZero aún se disputan la responsabilidad públicamente. LayerZero asegura haber advertido a KelpDAO sobre los riesgos de una configuración de verificador único. KelpDAO responde que esa configuración coincidía con la documentación oficial y la guía de inicio rápido de LayerZero. Desde entonces, LayerZero declaró que dejará de firmar mensajes para cualquier aplicación que opere con un único verificador.
El debate sobre responsabilidades importa. Pero no cambia el hecho central: el rsETH sin respaldo siguió pareciendo válido, siguió circulando, y el daño siguió propagándose.
¿Cuántas otras fragilidades esconderá DeFi bajo su superficie?
DeFi lleva años construyendo capas sobre capas de sofisticación financiera, pero este episodio dejó expuesto que la solidez de toda esa arquitectura puede depender, en última instancia, de decisiones de infraestructura que parecían razonables en el momento en que se tomaron, pero no eran tan acertadas.
Si esto puede ocurrirle a un token integrado en los principales protocolos del ecosistema, valorado por oráculos y aceptado por marcos de riesgo institucionales, la pregunta incómoda es ¿cuántas otras fragilidades similares están esperando, invisibles, en la infraestructura DeFi? Quizás, más de las que el mercado está dispuesto a admitir antes de que fallen.
