Eventos de seguridad en DeFi 2026: Riesgos interprotocolo provocados por la vulnerabilidad de Kelp DAO y análisis de la exposición crediticia de Aave

El 18 de abril de 2026 UTC 17:35, una transacción de puente entre cadenas aparentemente ordinaria desencadenó el evento de seguridad más contagioso en la historia de DeFi. El puente cross-chain rsETH de Kelp DAO fue atacado debido a una vulnerabilidad de configuración, y el atacante acuñó de la nada 116,500 rsETH, valorados en aproximadamente 293 millones de dólares, representando alrededor del 18% del suministro total de ese token. Este incidente no solo rompió el récord de pérdidas en un solo ataque en 2026, sino que también, a través de la interoperabilidad entre protocolos DeFi, provocó una crisis sistémica: el TVL de Aave se evaporó en 8.45 mil millones de dólares en dos días, y el TVL total de DeFi en toda la cadena se redujo en 13.21 mil millones de dólares.

Sin embargo, el evento de Kelp DAO no fue un caso aislado. En los primeros cuatro meses de 2026, ya se han producido múltiples incidentes de seguridad en el ámbito DeFi, con pérdidas acumuladas que alcanzan varios cientos de millones de dólares. Desde secuestros de gobernanza hasta explotaciones de puentes, desde manipulación de oráculos hasta reentradas en contratos inteligentes, los vectores de ataque se vuelven cada vez más complejos, y la profunda acoplamiento entre protocolos amplifica exponencialmente el daño de fallos en puntos únicos.

Cronología del incidente del puente de Kelp DAO

El 18 de abril de 2026 UTC 17:35, el atacante aprovechó una vulnerabilidad de configuración en el puente cross-chain LayerZero de Kelp DAO, falsificando un mensaje entre cadenas para liberar en la red principal de Ethereum 116,500 rsETH sin respaldo real. Tras 46 minutos del ataque, Kelp DAO activó una pausa de emergencia mediante firma múltiple en los contratos de rsETH en la red principal y varias cadenas L2. Durante ese período, el atacante intentó en dos ocasiones volver a acuñar 40,000 rsETH cada vez, pero ambas veces fue revertido por el congelamiento del contrato.

Tras el éxito del ataque, el atacante no optó por vender directamente en el mercado secundario esa cantidad de rsETH, sino que depositó la mayor parte en Aave V3 y V4 como colateral, y tomó préstamos en WETH y ETH reales. Según datos en cadena, el atacante logró mediante colateralización y venta aproximadamente 106,500 ETH, valorados en unos 250 millones de dólares.

Esta operación puso a Aave en riesgo de incurrir en pérdidas no recuperables de entre 177 y 236 millones de dólares. La firma de Aave congeló de inmediato los mercados de rsETH en Ethereum, Arbitrum, Optimism, Base y otras cadenas de capa dos, y ajustó el Loan-to-Value (LTV) de rsETH a 0. Otros protocolos como Compound y Euler también suspendieron o limitaron operaciones con esos activos.

Desde la vulnerabilidad hasta la reacción en cadena

Las diferentes interpretaciones en la comunidad señalan la rapidez de respuesta de 46 minutos como relativamente eficiente en un incidente de puente cross-chain; sin embargo, otros apuntan que desde las 17:35 hasta la primera declaración pública a las 20:10 pasaron casi tres horas, lo que aumentó la vacío informativo y alimentó el pánico del mercado. Además, la decisión de Kelp DAO de usar una configuración 1/1 DVN para la gobernanza generó debates sobre la suficiencia de auditorías de seguridad.

Análisis de datos y estructura: una evaluación cuantitativa del efecto en cadena

Panorama de seguridad DeFi en 2026

Frecuencia de ataques y magnitud de pérdidas

En los primeros 18 días de abril de 2026, los protocolos criptográficos sufrieron pérdidas acumuladas superiores a 606 millones de dólares, siendo el mes más dañino desde febrero de 2025. Entre ellos, Drift Protocol perdió aproximadamente 285 millones de dólares el 1 de abril por secuestro de gobernanza, y Kelp DAO sufrió pérdidas de unos 293 millones, representando la mayor parte del total mensual. La sucesión de ataques de alto valor refleja que la seguridad en DeFi enfrenta una nueva fase de prueba.

Tendencias en los patrones de ataque

Los investigadores de seguridad observan que en 2026 los ataques muestran dos características principales: primero, un aumento en el aprovechamiento de vulnerabilidades en puentes cross-chain y en la configuración de activos derivados, donde los atacantes ya no se limitan a vulnerabilidades en código de contratos inteligentes, sino que también penetran en la configuración de protocolos y en la gobernanza; segundo, los atacantes se vuelven más hábiles en usar la interoperabilidad de DeFi para amplificar efectos de ataque, transformando fallos en puntos únicos en impactos sistémicos. En el caso de Kelp DAO, el atacante no vendió directamente los activos acuñados, sino que los usó como colateral para sacar activos reales, ejemplificando esta tendencia.

Análisis cuantitativo del impacto en Aave

Cambios en TVL y precios de tokens

Según datos de Gate y monitoreo en cadena, al 20 de abril de 2026, el impacto en Aave fue el siguiente:

• Cambio en TVL: De aproximadamente 26,396 millones de dólares antes del ataque, cayó a 17,947 millones en dos días, una reducción total de 8,45 mil millones.
• Salida neta: Aproximadamente 6,2 mil millones de dólares salieron de Aave, una caída del 23%.
• Pérdidas incobrables: Aave enfrenta entre 177 y 236 millones de dólares en deudas incobrables, principalmente en el par rsETH/WETH en Ethereum.
• Utilización de fondos: La utilización en el mercado de WETH alcanza el 100%, y los pools de USDT y USDC también están en su máxima capacidad, con más de 5,1 mil millones de dólares en stablecoins bloqueados en nuevos fondos o en pagos de prestatarios.
• Retiro de ballenas: Abraxas Capital retiró unos 392 millones de dólares, MEXC unos 431 millones, y una ballena vinculada a Nonco retiró aproximadamente 405 millones.

Evaluación de la seguridad de los contratos principales de Aave

Es importante destacar que en este incidente no se vulneraron los contratos inteligentes principales de Aave. El atacante utilizó los rsETH acuñados mediante la vulnerabilidad del puente de Kelp DAO, creando colaterales “de aire” y usando la interoperabilidad para tomar préstamos en activos reales dentro del sistema de Aave. Stani, fundador de Aave, afirmó en una AMA que esto fue un “contaminación upstream” y no una vulnerabilidad del protocolo, una opinión que cuenta con consenso en la comunidad de seguridad.

Formas posibles de cubrir las pérdidas incobrables

Sobre cómo Aave puede cubrir las pérdidas, hay dos hipótesis: primero, mediante reservas del protocolo y unos 12 millones de dólares mensuales en ingresos, que podrían ir amortizando la deuda; segundo, si la brecha supera las reservas, sería necesario usar los tokens AAVE en garantía en los módulos de seguridad, transfiriendo el costo del fallo a los stakers más fieles. Hasta el 20 de abril, Aave no ha anunciado una solución definitiva.

Análisis del precio y la desconexión de rsETH

Cambios en la circulación de rsETH

El ataque acuñó 116,500 rsETH (alrededor del 18% del suministro), sin respaldo en ETH real. La circulación de rsETH en más de 20 cadenas presenta incertidumbre en su respaldo, pendiente de conciliación entre reservas y oferta en circulación.

Cuestionamientos sobre la fijación de precios de rsETH

Analistas señalan que, como token de liquid restaking (LRT), el valor de rsETH depende en gran medida de la integridad de las reservas en ETH. Si hay fisuras entre reservas y oferta, el anclaje del precio se verá seriamente afectado. La configuración 1/1 DVN de Kelp DAO concentra la responsabilidad de validación entre cadenas en un solo nodo, lo que, en busca de eficiencia, sacrifica redundancia de seguridad y expone la vulnerabilidad sistémica de los activos LRT en escenarios cross-chain.

Validación de la estrategia cautelosa de SparkLend

La precaución de Spark Protocol

Monetsupply.eth, responsable de estrategia en Spark, reveló que en enero de 2026, Spark eliminó activos de bajo uso como rsETH y ajustó la lista de colaterales, restringiendo su alcance. Aunque esta decisión generó rechazo en algunos usuarios de ETH con apalancamiento, en el contexto del incidente de Kelp DAO, se demostró como una medida de gestión de riesgo prudente.

Comparación de liquidez

A pesar de la tensión en la liquidez de ETH en Aave por el riesgo de rsETH, SparkLend mantuvo suficiente liquidez en ETH. Además, adoptó límites más altos en las tasas de interés de préstamos en ETH, sacrificando parte de su cuota de mercado frente a Aave, pero construyendo un balance más saludable en esta crisis.

Importancia de la selección de activos de riesgo

La decisión de Spark de eliminar rsETH anticipadamente revela un principio clave: en protocolos de préstamo DeFi, la calidad del colateral es más importante que ampliar la lista para aumentar TVL. En eventos extremos, aceptar una gama amplia de colaterales puede ser un punto débil, mientras que una selección prudente es la primera línea de defensa en seguridad.

Posible reconfiguración del panorama competitivo

Tras el incidente, la lógica competitiva entre protocolos de préstamo DeFi puede cambiar. La estrategia de crecimiento basada en “maximizar TVL” será reevaluada por la comunidad e inversores, priorizando la calidad del activo y la capacidad de aislar riesgos. La aceptación de la estrategia de Spark puede guiar a otros protocolos a ajustar sus políticas de colaterales.

Diálogo entre comunidad, desarrolladores y expertos en seguridad

Opinión comunitaria: del pánico a la reflexión

Retiro de fondos por pánico y discusión de datos

Tras el incidente, en horas se generaron millones de mensajes en comunidades en X en chino e inglés. La discusión inicial se centró en el pánico y en preocupaciones de seguridad. 0xngmi, fundador de DeFiLlama, afirmó en X que incluso protocolos en Solana, no afectados directamente, sufrieron salidas de fondos. Añadió que el TVL total de DeFi se evaporó en casi 10 mil millones de dólares, y que en estos eventos, “no hay ganadores, solo un encogimiento del pastel, todos pierden”.

Diferencias en la gestión de riesgos en Aave

Tras la congelación del mercado de rsETH en Aave, la comunidad se dividió en opiniones: algunos valoran la rápida respuesta como efectiva para evitar mayores pérdidas, demostrando la resistencia de los protocolos descentralizados; otros cuestionan que la evaluación de riesgo de aceptar rsETH como colateral no fue suficiente, especialmente considerando que Spark ya eliminó rsETH en enero.

Respuestas de equipos y protocolos

Declaraciones públicas de los protocolos

• Kelp DAO: en su cuenta oficial en X, confirmaron “actividad sospechosa en rsETH cross-chain” y que están investigando junto a LayerZero, auditores y expertos en seguridad.
• LayerZero: en su cuenta oficial en X, respondieron “conocemos el incidente y estamos investigando la causa raíz”.
• Aave: en su comunicado, aseguraron que el rsETH en Ethereum “está plenamente soportado”, pero mantienen la congelación por precaución, limitando la exposición.

Controversia sobre responsabilidades

La comunidad de seguridad considera que la decisión de Kelp DAO de usar una configuración 1/1 DVN fue la causa principal del incidente. Sin embargo, hay voces que señalan que LayerZero, como proveedor de infraestructura cross-chain, también tiene responsabilidad en la configuración y en la promoción de buenas prácticas.

Perspectiva de expertos en seguridad

Caracterización técnica de la vulnerabilidad

Analistas en seguridad explican que la vulnerabilidad clave radica en la configuración del Omnichain Application (OApp) en LayerZero por parte de Kelp DAO: el uso de un solo nodo de validación (1/1 DVN) permite que un atacante falsifique mensajes de validación entre cadenas. Mediante cargas útiles manipuladas, el atacante logra en la cadena objetivo acuñar rsETH sin respaldo real, obteniendo así un valor cercano a 300 millones de dólares en activos sintéticos.

Lecciones y analogías históricas

Los expertos comparan este ataque con el incidente de Nomad en 2022: ambos involucran fallas en la configuración de validación cross-chain, y en ambos casos, los atacantes encontraron puntos débiles en la verificación de mensajes. Tras Nomad, la comunidad aumentó la vigilancia en la seguridad de puentes, pero con la evolución de los activos y las arquitecturas, nuevos vectores de ataque emergen. El incidente de Kelp DAO muestra que la seguridad en puentes sigue siendo un problema abierto, agravado por la complejidad de los activos en juego.

Análisis del impacto sectorial: de vulnerabilidades puntuales a riesgos sistémicos

Impacto en la confianza en el sector LRT

La lógica de valor de los activos LRT en entredicho

rsETH, como ejemplo representativo de los tokens Liquid Restaking (LRT), ha sido afectado por este evento. La principal vulnerabilidad en escenarios cross-chain radica en que su valor depende de la integridad de las reservas en ETH, y que las fallas en puentes pueden crear tokens sin respaldo, sin tocar reservas reales. Esto socava la confianza en toda la categoría.

Posibles mejoras en transparencia y auditoría de reservas en LRT

Tras el incidente, se espera que aumenten los requisitos de transparencia y auditoría en los protocolos LRT. Kelp DAO deberá publicar conciliaciones de reservas y circulación para demostrar que rsETH tiene respaldo completo. Esto puede marcar un punto de inflexión en los estándares de seguridad en esta categoría.

Revaluación de la capacidad de aislamiento de riesgos en protocolos de préstamo

Ventajas del modelo de Morpho

En este evento, Morpho, con su arquitectura de mercado aislado, limitó la exposición de rsETH a unos 100,000 dólares en dos mercados independientes, sin afectar al sistema completo. En contraste, el diseño unificado de Aave permitió que la contaminación de un colateral afectara toda la plataforma.

El diseño de la arquitectura como clave de seguridad

La diferencia en desempeño entre Morpho y Aave revela que, en seguridad DeFi, la arquitectura de aislamiento de riesgos es más importante que las medidas de control posterior. Aunque sacrifica eficiencia, la segmentación actúa como un cortafuegos en escenarios extremos.

Seguridad en puentes cross-chain: una problemática antigua con nuevas variantes

Riesgos en la configuración de LayerZero

El núcleo técnico del incidente fue la decisión de configuración 1/1 DVN en el puente. Este esquema introduce un riesgo de fallo único en la validación de activos cross-chain, y un atacante solo necesita comprometer un nodo para falsificar validaciones. LayerZero, como infraestructura, debe equilibrar flexibilidad y seguridad.

Promoción de buenas prácticas en seguridad de puentes

Tras el incidente, la industria acelerará la adopción de mejores prácticas: validaciones múltiples con diferentes nodos, mecanismos de bloqueo temporal, límites en transacciones, etc. Protocolos como Curve pausaron su infraestructura LayerZero para evaluaciones de seguridad, y otras plataformas podrían seguir ese ejemplo.

Escenarios evolutivos: perspectivas futuras de seguridad en DeFi

Ruta base: asimilación de la crisis y fortalecimiento institucional

En este escenario, Aave logra absorber las pérdidas mediante reservas y flujo de ingresos, Kelp DAO realiza conciliaciones y publica respaldo en circulación de rsETH, y la industria se recupera tras el dolor inicial. Variables clave: si Aave puede cubrir las pérdidas sin activar slashing en el módulo de seguridad; si Kelp DAO puede verificar y publicar la reserva; si otros protocolos de LRT mejoran su transparencia.

Ruta de presión: caída del precio de ETH y liquidaciones secundarias

Monetsupply.eth advierte que, dado que ETH es el principal colateral, si su precio cae un 15-20%, las liquidaciones se dispararán, generando pérdidas adicionales. La tensión en la liquidez de ETH puede activar el uso del módulo de seguridad de Aave, afectando a los stakers y creando un ciclo vicioso de insolvencias y pérdidas.

Ruta de reestructuración: actualización de la arquitectura de seguridad en DeFi

Este evento puede impulsar una revisión profunda en la arquitectura de seguridad: establecimiento de estándares en configuración de puentes, mecanismos de prueba de reservas en activos LRT, criterios más estrictos para activos de riesgo en préstamos, y exploración de modelos de mercado aislado en los principales protocolos. Aunque requiere equilibrar eficiencia y seguridad, la lección de Kelp DAO es que sacrificar redundancia puede ser muy costoso.

Conclusión

El incidente de 293 millones de dólares en Kelp DAO no fue solo un hackeo masivo, sino una prueba de fuego para la resiliencia sistémica de DeFi. El atacante, mediante una vulnerabilidad en la configuración del puente, activó una cadena de efectos que afectó desde activos LRT hasta los principales protocolos de préstamo y toda la economía DeFi, provocando en dos días la evaporación de 8.45 mil millones en TVL de Aave y la reducción de más de 13 mil millones en fondos en toda la cadena.

En esta tormenta, los protocolos mostraron diferentes niveles de resistencia: Aave soportó la presión con su amplia aceptación de colaterales; Morpho limitó el daño con su arquitectura de mercado aislado; SparkLend, anticipándose, eliminó activos de bajo uso como rsETH y salió indemne. Estas diferencias apuntan a una idea central: en DeFi, la seguridad no es solo una suma de medidas técnicas, sino una filosofía de diseño.

Al 20 de abril de 2026, Kelp DAO aún no ha publicado sus conciliaciones de reservas, Aave sigue discutiendo cómo cubrir sus pérdidas, y el valor real de rsETH está en revisión. Estas incógnitas seguirán poniendo a prueba la resistencia y gobernanza del sector. Pero lo que es seguro es que, en la historia de DeFi, esta crisis dejará una marca profunda: obligará a repensar la lógica de crecimiento basada en eficiencia y a buscar un nuevo equilibrio entre seguridad y expansión.