La ruptura automática entre protocolos realmente debería generalizarse; confiar en la vigilancia manual para detectarlo, el dinero ya ha sido lavado en ETH.

😱💢💥DeFi Pierde $292 Millones en Menos de una Hora!

Un solo error en la configuración abrió la puerta. Una puente descuidado, sin suficientes ojos, fue todo lo que se necesitó. La mayor brecha de DeFi ese año no vino de la brillantez, sino de la negligencia.

18 de abril de 2026. Hora: 17:35 UTC. Alguien salió del puente LayerZero de Kelp DAO con 116,500 rsETH.. ¿Esa cantidad? Casi $292 millones. Pasaron 46 minutos antes de que Kelp detuviera sus contratos. En ese intervalo, alrededor de $250 millones en tokens robados cambiaron de manos, convertidos en ETH usando una billetera cargada discretamente antes a través de Tornado Cash. Cada movimiento estaba planeado con anticipación. Nada quedó al azar. Daño hecho.

Esta brecha marca el mayor hackeo de DeFi hasta ahora en 2026 - ninguna otra incidencia se acerca.

Qué Fue Vulnerado y el Método Usado

Un mar de actividad gira alrededor de Kelp DAO, funciona como una máquina que permite a las personas poner ETH o ciertos activos apostados. En lugar de estar quietos, esos depósitos fluyen hacia EigenLayer para obtener retornos adicionales con el tiempo. Sale rsETH, un token que se puede intercambiar o mover libremente. La trouble surgió: el enlace entre cadenas, que sostiene reservas para rsETH envuelto, sufrió daños. Esa conexión soporta operaciones en más de veinte redes. Arbitrum marca el ritmo, seguido por Base, Linea, incluso otras menos conocidas como Blast y Scroll, todas conectadas en la web.

Una señal falsa se coló en las defensas de LayerZero, engañando al sistema para aceptar datos corruptos. Debido a eso, la conexión de Kelp reaccionó como si la autorización viniera de una fuente confiable. Comenzó una transferencia sin autorización real detrás. Salió 116,500 rsETH, desviados antes de que alguien pudiera detenerlo. ¿El destino? Una dirección ya bajo control del atacante.

Solo un mensaje falso inició todo. La brecha ocurrió porque un solo puente creyó en ello. Todo colapsó después de eso.

Un firmante único gestionó las aprobaciones, así que solo un jugador tenía autoridad sobre las transacciones. Debido a eso, el hacker logró pasar firmando una transferencia para crear toneladas de rsETH sin respaldo en la red original. Michael Egorov, quien fundó Curve Finance, lo dijo claramente: "Los riesgos aparecen si todo depende de una sola persona."

La Contagión se Propagó Rápido

Aquí es cuando las cosas se vuelven más feas. No solo el ladrón tomó el dinero, sino que lo convirtió en una herramienta para más daño.

Una ola de wETH prestado surgió en Aave V3 después de que los hackers canalizaron rsETH robado hacia el protocolo. Una brecha llevó a otra, de repente, efectos dominó cubrieron gran parte de las finanzas descentralizadas.

Bajando de $26.4 mil millones el 18 de abril, los fondos bloqueados en Aave alcanzaron cerca de $20 mil millones el domingo por la mañana en EE. UU., perdiendo $6.6 mil millones mientras su token AAVE caía un 16%. Debido a la turbulencia, SparkLend, Fluid y Lido pausaron el comercio en los mercados de rsETH sin demora. La moneda RAVE de RaveDAO cayó un 90%, pasando de $27.33 a solo $1.15, borrando más de $5 mil millones en valor de mercado en una sola sesión. Aunque se esperaba estabilidad, el caos se desató rápidamente en las plataformas una vez que los números comenzaron a caer.

Algo más ocurrió después: otros dos intentos de retirar 40,000 rsETH, unos $100 millones, fueron detenidos cuando Kelp activó el freno de emergencia. Aunque no ayudó mucho después de que desaparecieran $292 millones.

Esto No Es un Accidente, Sino una Secuencia Repetida

La verdad es que 2026 no ha sido amigable con la seguridad de DeFi

Una brecha afectó al Drift Protocol alojado en Solana a principios del 1 de abril, borrando cerca de $285 millones. El incidente se remonta a hackers vinculados a Corea del Norte. Los fondos desaparecieron rápidamente durante la explotación.

Una serie de hackeos afectó varias plataformas, CoW Swap fue la primera, luego Zerion sufrió presión. Rhea Finance siguió poco después, sus defensas cediendo inesperadamente. Silo Finance se rompió más tarde, uniéndose a la cadena de brechas que se desplegaron semana tras semana.

Solo en el primer trimestre de 2026, estafas y hackeos drenaron unos $482 millones en monedas digitales. Aunque los ataques lograron golpes grandes, también hubo engaños en esos meses.

Un fin de semana, Kelp creció en otros $292 millones.

El Director de Seguridad de Ledger lo dijo claramente: "En general, la confianza en los protocolos DeFi se erosiona por este tipo de eventos. Y 2026 probablemente será el peor año en términos de hackeos, otra vez."

La Dura Realidad de los Bloques de Construcción de DeFi

Resulta que lo que nadie quiere admitir: lo que hace a DeFi flexible también lo rompe cuando llega el estrés. La composabilidad construye poder a través de conexiones, pero esos enlaces se vuelven puntos débiles bajo presión.

Un momento, rsETH servía como respaldo confiable en Aave, SparkLend, Fluid, Compound y Euler, construido así desde que el enlace abierto define la razón de ser de DeFi. Estos sistemas permiten que operen libremente entre sí. Es por diseño. Sin embargo, justo después de la brecha, las posesiones falsas inundaron principalmente Aave, usado rápidamente para retirar ETH genuino mediante préstamos, convirtiendo un robo aislado en una tensión generalizada.

Cuando una parte falla, cada sistema que depende de ella como seguridad también se ve afectado. Esto no es un error aislado. Es cómo funciona todo el sistema.

Cuando la reserva del puente se agota, las personas que tienen tokens fuera de Ethereum empiezan a preguntarse si esos tokens todavía están respaldados. Esa preocupación provoca salidas apresuradas de las cadenas de capa 2, aunque la oferta de Ethereum no se vea afectada directamente. De repente, Kelp puede necesitar dividir activos restakeados solo para cubrir solicitudes de retiro.

Una falla arrastra a otra. Siempre pasa así.



Qué Debe Cambiar

Lo que se necesita no está oculto. Sin embargo, el progreso va a la zaga de las necesidades]

Los puentes deben requerir múltiples firmas en lugar de solo una. Una sola llave rota no puede desbloquearlos cuando se requieren varias aprobaciones. Un eslabón débil puede fallar, pero todo el sistema permanece cerrado.

En cuanto a la incorporación de colaterales, las reglas más estrictas están entrando en juego. Los sistemas de préstamo ahora enfrentan presión, la revisión del diseño del puente debe ser prioritaria, nunca secundaria. Los tokens restakeados no pasarán sin una revisión exhaustiva de su estructura. La secuencia se invierte: escrutinio antes de la aceptación, no al revés. Los protocolos dudan menos cuando la estructura se confirma temprano. La seguridad depende del tiempo, un orden incorrecto arriesga más que retrasos.

Ese retraso importa. Kelp esperó hasta las 20:10 UTC para decir algo, aunque la brecha empezó mucho antes. Pasaron tres horas completas antes de que saliera su primer mensaje. El silencio así no funciona cuando los sistemas ya se están rompiendo.

Cuando los puentes actúan de forma extraña, los sistemas se detienen de inmediato mediante cortacircuitos entre protocolos en lugar de esperar horas por intervención humana. Las alertas provocan apagados instantáneos en redes vinculadas en lugar de soluciones retrasadas. Las detenciones rápidas ocurren antes de que los problemas se propaguen fuera de control. Las máquinas reaccionan más rápido que las personas cuando las conexiones muestran señales de advertencia. Los congelamientos se implementan automáticamente en cuanto aparecen irregularidades en los canales de comunicación.

Michael Egorov ve un lado positivo en la destrucción: "Cripto es un entorno duro que ningún banco habría sobrevivido, pero estamos trabajando con eso. DeFi aprenderá de este incidente y será más fuerte que antes."

Podría ser. Aunque cuando las lecciones cuestan $292 millones cada una, los precios suben rápidamente.

Una sola falla abrió la puerta. Un mensaje falso se coló. 46 minutos después, millones desaparecieron. Esta brecha pasó por poco la pérdida de Drift. Ahora es la mayor caída de DeFi en 2026. Los enlaces entre sistemas convirtieron pequeñas grietas en un fallo total.

Un paso adelante de las salvaguardas, los puentes siguen creciendo en complejidad. Cuando los validadores carecen de variedad, los puntos débiles permanecen. Las reglas de colateral tampoco han seguido el ritmo. Mientras estas brechas permanezcan abiertas, historias como esta volverán a aparecer. No es cuestión de si, sino de cuándo.

La supervivencia de DeFi no está en lo que se está poniendo a prueba. La velocidad es qué tan rápido puede cambiar antes de que aparezca otro error de $292 millones.

✅️ SÍGUENOS PARA MÁS✅️
$BTC ‌$SOL ‌#GatePreIPOsLaunchesWithSpaceX $XRP ‌