El mayor incidente de seguridad DeFi en 2026: vulnerabilidad en el puente cross-chain de KelpDAO, casi 200 millones de dólares en préstamos incobrables en Aave

En abril de 2026, la industria de las criptomonedas experimentó una severa prueba de riesgo sistémico en DeFi. El puente cross-chain de KelpDAO fue atacado debido a una vulnerabilidad en la configuración de LayerZero, lo que provocó una emisión anómala de rsETH, transmitiéndose posteriormente al protocolo Aave y generando una deuda incobrable de casi 200 millones de dólares, mientras que el valor total bloqueado (TVL) en toda la red DeFi se evaporó en más de 13 mil millones de dólares en 72 horas. Este evento no solo expuso la exposición al riesgo entre los puentes cross-chain y los protocolos de préstamo, sino que también desencadenó un profundo debate sobre los límites de seguridad en la composabilidad.

¿Cómo provocó el ataque a KelpDAO una deuda incobrable de casi 200 millones de dólares en Aave?

La propagación del ataque se divide en tres fases. En la primera, el atacante aprovechó una vulnerabilidad en la configuración del puente cross-chain de LayerZero en KelpDAO, eludiendo el mecanismo de verificación de permisos y creando ilegalmente una gran cantidad de rsETH en la cadena fuente. En la segunda, el atacante transfirió el rsETH emitido a través del puente a la red principal de Ethereum y lo intercambió rápidamente en varios DEX por otros activos, causando que el precio de rsETH se despegara temporalmente de su ancla. En la tercera, dado que Aave integró rsETH como activo colateral, el atacante utilizó el rsETH emitido en exceso para tomar préstamos excesivos en ETH y USDC y retiró la liquidez, dejando una deuda incobrable que no podía ser liquidada. Hasta el 20 de abril de 2026, Aave divulgó que la escala de la deuda incobrable oscilaba entre aproximadamente 177 y 200 millones de dólares, dependiendo de los procesos de liquidación y recuperación posteriores.

¿Cómo expusieron la vulnerabilidad del puente cross-chain de rsETH y la configuración errónea de LayerZero?

La raíz técnica del ataque radica en una deficiencia en la gestión de permisos del puente cross-chain. La solución de puente utilizada por KelpDAO se basa en el protocolo de mensajería general de LayerZero, pero en su configuración no se verificó estrictamente la dirección del contrato remitente de los mensajes. El atacante falsificó la identidad de un remitente legítimo y envió una orden de “emisión adicional” a la cadena objetivo. Los relays y contratos en el extremo de LayerZero ejecutaron normalmente el mensaje, ya que su mecanismo de verificación solo validaba la firma del mensaje y no verificaba la legalidad del contenido en términos de negocio. Esta vulnerabilidad es un ejemplo clásico de “desajuste entre configuración y lógica de negocio”, que ha sido recurrente en ataques a puentes cross-chain entre 2025 y 2026. Como rsETH es un token de recolocación de liquidez de KelpDAO, su emisión estaba restringida a contratos específicos, pero la interfaz de emisión del puente fue expuesta incorrectamente a llamadas externas.

¿Por qué no pudo Aave evitar una deuda incobrable de 177 millones de dólares?

Aave, como protocolo de préstamos descentralizado, depende de los precios de oráculos en cadena y de mecanismos de liquidación para gestionar riesgos. En este incidente, la desanclación del precio de rsETH duró muy poco, y el atacante ya había realizado sus operaciones de préstamo antes de que el precio cayera. Cuando el precio de rsETH empezó a bajar, la posición del atacante ya estaba en “agua”, pero el robot de liquidación de Aave no pudo activarse a tiempo, por dos razones. Primero, el factor de colateralización de rsETH en Aave era alto, proporcionando un cierto margen de volatilidad de precios, lo cual fue aprovechado por el atacante. Segundo, el atacante utilizó múltiples direcciones para dispersar sus préstamos, haciendo que la salud de cada posición individual pareciera normal, aunque el riesgo total era enorme. Además, el oráculo de Aave no pudo captar en tiempo real el precio real de rsETH en los DEX, y el mecanismo de precio ponderado en el tiempo (TWAP) tenía un retraso, lo que retrasó la liquidación respecto a la velocidad de retiro de activos.

¿Cómo amplifica la composabilidad en DeFi el riesgo de un solo protocolo?

La composabilidad es una ventaja central de DeFi, pero también acelera la propagación del riesgo. En el ataque a KelpDAO, el riesgo se propagó rápidamente a través de la cadena: “puente cross-chain — tokens de recolocación — protocolo de préstamo”. La vulnerabilidad del puente llevó a la emisión adicional de rsETH, que como colateral en Aave permitió crear capacidad de préstamo, transformando activos falsos en liquidez real. Este mecanismo de propagación tiene características no lineales: un costo de ataque de 5 millones de dólares puede acabar generando casi 200 millones de dólares en deuda incobrable y más de 13 mil millones de dólares en retiro de TVL. Los participantes del mercado, tras el evento, retiraron rápidamente liquidez de Aave y otros protocolos de préstamo, agravando la fuga de fondos. Hasta el 20 de abril de 2026, el TVL en DeFi cayó de aproximadamente 115 mil millones a menos de 102 mil millones de dólares, evaporándose más de 13 mil millones. En cuanto a categorías de activos, las salidas de ETH y stablecoins fueron las más significativas, con reducciones de aproximadamente 4.8 mil millones y 5.2 mil millones de dólares, respectivamente.

¿Quién se está yendo con los 13 mil millones de dólares de TVL evaporados?

La rápida caída del TVL refleja comportamientos de mercado en tres niveles. El primero, el protocolo Aave, cuyos usuarios retiraron unos 4.5 mil millones de dólares para evitar que sus activos quedaran bloqueados o fueran liquidados. El segundo, los agregadores y protocolos de apalancamiento vinculados a Aave, que debido a la incertidumbre en el mercado de préstamos, redujeron posiciones o suspendieron servicios, retirando unos 3.5 mil millones de dólares de forma pasiva. El tercero, el pánico generalizado, que llevó a los usuarios a retirar activos de otros protocolos de préstamo y staking sin relación directa, con una salida adicional de aproximadamente 5 mil millones de dólares. Es importante destacar que la velocidad de salida en esta ocasión fue una de las más rápidas en la historia de DeFi, con una caída del 11.3% en 72 horas. En términos de clases de activos, las salidas de ETH y stablecoins fueron las más pronunciadas, con reducciones de aproximadamente 4.8 mil millones y 5.2 mil millones de dólares, respectivamente.

¿Puede el seguro en DeFi cubrir las zonas ciegas de ataques similares?

La capacidad de cobertura de los seguros en DeFi para este evento es muy limitada. Los principales protocolos de seguro, como Umbrella, generalmente cubren pérdidas directas por vulnerabilidades en contratos inteligentes, pero no las deudas incobrables indirectas causadas por la transmisión de riesgo entre protocolos, cuya definición de cobertura aún no está clara. En el ataque a KelpDAO, la deuda incobrable de Aave no provino de una vulnerabilidad en su propio contrato, sino de entradas anómalas de protocolos externos. La industria aún carece de un estándar unificado sobre si los seguros deben pagar en casos de “riesgo externo” o “entrada externa”. Además, la desanclación de precios y fallos en la liquidación, a menudo, se consideran riesgos de mercado o de operación, y están excluidos de la cobertura. Hasta el 20 de abril de 2026, varias plataformas de seguros están evaluando el alcance de la reclamación, pero se espera que la mayoría de las pérdidas no puedan ser cubiertas por seguros. Esta zona ciega revela las limitaciones del seguro en DeFi frente a riesgos sistémicos.

Resumen

El ataque al puente cross-chain de KelpDAO es uno de los casos de mayor impacto en seguridad en DeFi en 2026. Con un costo de aproximadamente 5 millones de dólares, desencadenó una deuda incobrable en Aave de casi 200 millones y la evaporación de más de 13 mil millones de dólares en TVL. Las lecciones clave son: la configuración de permisos en los puentes debe estar profundamente vinculada a la lógica de negocio, los protocolos de préstamo deben fortalecer la gestión de riesgos en colaterales no principales, y el sistema de seguros en DeFi necesita expandirse para cubrir riesgos de transmisión sistémica. La composabilidad, si bien aumenta la eficiencia del capital, también requiere mecanismos claros de aislamiento de riesgos entre protocolos. Para la industria, este evento no es un final, sino un punto de impulso para la mejora de los estándares de gestión de riesgos en DeFi.

FAQ

Pregunta: ¿Quién asume finalmente la deuda incobrable de 200 millones de dólares en Aave tras el ataque a KelpDAO?

Respuesta: La deuda incobrable inicialmente será cubierta por el fondo de reserva de Aave. Si este fondo no es suficiente, la recuperación se realizará mediante ingresos de liquidaciones posteriores, tarifas acumuladas, etc. Algunas pérdidas podrían ser asumidas indirectamente por los proveedores de liquidez de Aave, dependiendo de las decisiones de gobernanza comunitaria.

Pregunta: ¿Este ataque afectará a otros puentes cross-chain que usen LayerZero?

Respuesta: LayerZero en sí no tiene vulnerabilidades; el problema radica en una configuración incorrecta en KelpDAO respecto a la verificación de mensajes. Sin embargo, otros puentes que utilicen mecanismos similares de verificación poco estrictos también enfrentan riesgos similares. Se recomienda que los proyectos revisen urgentemente la lógica de verificación de mensajes cross-chain.

Pregunta: ¿Cómo pueden los inversores evitar riesgos de composabilidad similares en DeFi?

Respuesta: Los inversores deben analizar las dependencias entre protocolos, evitar asignar grandes cantidades de activos en estrategias altamente anidadas, y preferir protocolos que hayan pasado múltiples auditorías, tengan mecanismos de aislamiento de riesgos y planes de liquidación bien establecidos. Diversificar los activos en diferentes protocolos también es una estrategia efectiva de gestión de riesgos.