KelpDAO vulnerabilidad desencadena crisis de confianza en DeFi: TVL se reduce en 14 mil millones

El 18 de abril de 2026, el puente cross-chain rsETH basado en LayerZero de KelpDAO fue atacado, y el atacante robó aproximadamente 116,500 rsETH en unos 46 minutos, con una pérdida de unos 292 millones de dólares, convirtiéndose en el mayor incidente de seguridad DeFi hasta la fecha en 2026. La naturaleza de este ataque no fue una vulnerabilidad en el código de contratos inteligentes tradicional, sino una falla sistémica en el modelo de confianza cross-chain. KelpDAO utilizó la solución de puente OFT de LayerZero, cuya seguridad dependía de la red de validación descentralizada DVN. Sin embargo, KelpDAO configuró una arquitectura de un solo nodo validante DVN 1/1 — solo se necesitaba la firma de un nodo para confirmar que un mensaje cross-chain era “real”, mientras que la documentación oficial de LayerZero recomendaba por defecto una configuración de multi-firma 2/2. El atacante, mediante ingeniería social, logró comprometer ese nodo único, falsificando mensajes cross-chain para “crear moneda de la nada”, y liberar rsETH sin respaldo real en la red principal de Ethereum.

En la investigación posterior, LayerZero atribuyó preliminarmente el ataque a una rama del grupo Lazarus de Corea del Norte, TraderTraitor, señalando que el atacante contaminó los nodos RPC downstream de DVN y, en conjunto con un ataque DDoS, indujo fallos en la transferencia, haciendo que los nodos de validación confirmaran que “no ocurrió ninguna transacción” y falsificaran los mensajes. Esta vía técnica revela un problema estructural aún más profundo: cuando la seguridad del puente cross-chain depende completamente de un solo nodo validante, ese nodo se convierte en el talón de Aquiles de todo el sistema.

Cómo el rsETH robado se propagó a Aave y generó una gran deuda incobrable

El atacante utilizó el rsETH creado de la nada como colateral en plataformas de préstamo como Aave, y tomó préstamos en activos reales. Dado que estos rsETH carecían de respaldo legítimo, estos préstamos representaban una exposición potencial a incumplimiento para los prestamistas. Según análisis en cadena, en las distintas capas de Aave, el valor en colateral de rsETH, calculado con precios de oráculos, asciende aproximadamente a 359 millones de dólares. Si estas posiciones operaran con el apalancamiento máximo, la escala potencial de incumplimiento podría llegar a unos 341 millones de dólares, sin cobertura alguna por parte del protocolo Umbrella.

Este no es un fallo en el código de los contratos inteligentes de Aave, sino una reacción en cadena sistémica provocada por “confianza errónea en los activos colaterales”. Tras inyectar tokens sin respaldo en los pools de préstamo, todos los usuarios que dependen de esos fondos están expuestos a un riesgo potencial de pago. La composabilidad de DeFi actúa aquí como una espada de doble filo: permite una eficiencia de capital sin fisuras entre protocolos, pero también significa que la pérdida de confianza en un solo eslabón puede propagarse instantáneamente a todo el ecosistema.

Cómo el pánico de fondos provocó una caída repentina de 140 mil millones de dólares en TVL

El pánico se convirtió rápidamente en una retirada masiva de fondos. Según datos de DefiLlama, en las últimas 48 horas, el TVL total de DeFi cayó de 99,497 millones de dólares a 86,286 millones, evaporando aproximadamente 13,2 mil millones. Aave sufrió retiros por valor de hasta 8,45 mil millones de dólares, y su TVL bajó a 17,947 millones. Hasta el 20 de abril, el TVL de DeFi se redujo aún más a unos 82,4 mil millones, un descenso de aproximadamente el 25% respecto a principios de 2026, cuando alcanzaba cerca de 110 mil millones.

La ola de retiros se concentró en préstamos, recolocación de liquidez y protocolos de rendimiento, con plataformas como Euler y Sentora experimentando pérdidas de doble dígito en porcentaje de TVL. Sin embargo, lo interesante es que los precios de los tokens reaccionaron de manera relativamente moderada: AAVE cayó solo alrededor del 2,5% en las últimas 24 horas, y UNI y LINK menos del 1%. Esta divergencia entre la situación de liquidez y los precios indica que el mercado aún no ha valorado completamente el impacto a largo plazo del evento — los retiros reflejan un pánico de liquidez, mientras que los poseedores de tokens aún esperan una resolución clara para la gestión de las deudas incobrables.

La congelación de 71 millones de dólares por parte del comité de seguridad de Arbitrum envía qué señal

El 21 de abril de 2026, el comité de seguridad de Arbitrum tomó medidas de emergencia, transfiriendo 30,766 ETH en posesión del atacante a una cartera intermediaria controlada por gobernanza y congelándolos, valorados en aproximadamente 71 millones de dólares, recuperando así cerca de una cuarta parte del total robado. La acción se ejecutó mediante una transacción de sistema llamada ArbitrumUnsignedTxType, un mecanismo que no puede ser firmado por una EOA normal y solo puede ser inyectado por el comité de seguridad a través de ArbOS.

Este tipo de intervención envía dos señales importantes. Primero, la capacidad de intervención de emergencia en la capa L2 ha sido validada en la práctica, marcando un hito en la hoja de ruta de escalabilidad de Layer 2. Segundo, tales intervenciones de gobernanza en fondos de usuarios son extremadamente raras y controvertidas en ecosistemas en cadena, ya que introducen un control discrecional en una red originalmente sin permisos. Arbitrum enfatizó que la acción se basó en información de las autoridades sobre la identidad del atacante y no afectó a otros usuarios o aplicaciones. Sin embargo, este precedente también plantea una pregunta más profunda: cuando “sin permisos” se enfrenta a “ataques de nivel estatal”, ¿dónde deben trazarse los límites de gobernanza en redes descentralizadas?

Por qué la advertencia del fundador de Curve sobre los riesgos de los préstamos no aislados fue pública

El fundador de Curve Finance, Michael Egorov, publicó públicamente tras el incidente que los problemas de incumplimiento de KelpDAO resaltan los riesgos potenciales del modelo de “préstamos no aislados” actual. Señaló que, aunque este modelo tiene alta escalabilidad, también conlleva riesgos elevados y requiere un marco de gestión de activos más estricto. Egorov enfatizó que muchos incidentes de seguridad evitables en el pasado se deben a fallos centralizados, y que estos problemas deben prevenirse antes de que ocurran, llamando a la comunidad a que, junto con la Fundación de Ethereum y la Fundación Solana, establezcan estándares de seguridad unificados para DeFi.

Egorov sugirió que los modelos de préstamos completamente aislados o híbridos pueden ser alternativas, y que la arquitectura “hub and spoke” propuesta en Aave v4 podría impulsar una evolución hacia modelos de préstamo con mayor seguridad. Esta visión refleja una tensión central en DeFi: entre la eficiencia de capital y la gestión del riesgo. El modelo no aislado permite que los fondos fluyan libremente entre protocolos, aumentando la eficiencia global, pero también hace que una crisis de confianza en un solo activo pueda propagarse rápidamente a toda la red de préstamos. La crítica de Egorov en esencia pregunta: ¿DeFi ha llegado a un punto en que debe sacrificar parte de la eficiencia para garantizar la estabilidad del sistema?

Tres caminos para gestionar las malas deudas en Aave y sus costos estructurales

El fundador de DeFiLlama, 0xngmi, analizó las tres posibles rutas que podría seguir Aave para gestionar la situación, cada una con sus propios costos y compromisos claros.

Primero, la socialización de pérdidas, reduciendo proporcionalmente el saldo de todos los poseedores de rsETH en un 18,5% para absorber las pérdidas. Si se aplicara a todos los colaterales en Aave, se estima que generaría unas 216 millones de dólares en malas deudas, con 55 millones cubiertos por Umbrella, 85 millones por el tesoro de Aave, dejando un déficit de unos 76 millones. La lógica es distribuir la pérdida entre todos los usuarios, pero esto socava la confianza en la seguridad del activo del protocolo.

La segunda opción solo protege los rsETH en la capa principal de Ethereum, considerando los rsETH en L2 como sin valor. Los colaterales en L2, valorados en unos 359 millones de dólares, si se operan con apalancamiento máximo, podrían generar unas 341 millones en malas deudas, sin cobertura por Umbrella. En ese escenario, Aave tendría que depender del tesoro o de préstamos para salvar parcialmente el mercado, y podría abandonar las cadenas más afectadas — Arbitrum, Mantle y Base — provocando un colapso en esas plataformas. Esta opción reduciría el impacto directo en Aave en la capa principal, pero dañaría la reputación de todo el ecosistema L2.

La tercera opción sería restaurar los activos a partir de una instantánea previa al ataque, reembolsando en su totalidad a las direcciones que tenían rsETH en ese momento, y que luego compren o transfieran en el mercado asumiendo las pérdidas. Aunque esta opción dejaría unos 91 millones de dólares en pérdidas tras la cobertura de Umbrella, el problema es que, tras el ataque, los fondos circulan con frecuencia, y en DeFi, los fondos en pools de liquidez son difíciles de distinguir por lotes, haciendo muy difícil una segregación técnica efectiva.

Por qué abril de 2026 se convirtió en un punto de inflexión en la seguridad DeFi

El incidente de KelpDAO no fue un evento aislado. Solo en los primeros 20 días de abril, las pérdidas por ataques en protocolos de criptomonedas superaron los 606 millones de dólares, marcando el mes más severo desde febrero de 2025. El 1 de abril, el mayor exchange de derivados perpetuos en Solana, Drift Protocol, fue robado en 12 minutos por unos 285 millones de dólares. En conjunto, KelpDAO y Drift representaron aproximadamente el 95% de las pérdidas del mes.

El informe de seguridad de SlowMist para 2025 ofrece una referencia a un ciclo más largo: en todo 2025, ocurrieron 200 incidentes de seguridad, con pérdidas de aproximadamente 2,935 millones de dólares, una reducción del 51% en número respecto a 2024, pero un aumento del 46% en monto total. Los proyectos DeFi son los más atacados, con 126 incidentes, representando el 63% del total, con pérdidas de unos 649 millones de dólares.

Al conectar estos datos, surge una tendencia clara: los atacantes están cambiando su objetivo de “cantidad” a “calidad” — menos incidentes, pero con pérdidas mayores por evento, y ataques más sofisticados. En el caso de KelpDAO, el atacante no explotó un código vulnerable, sino que aprovechó una configuración de confianza errónea, lo que indica que la seguridad tradicional basada en auditorías de código ya no es suficiente para afrontar las amenazas actuales.

Resumen

El incidente de vulnerabilidad cross-chain de KelpDAO es uno de los eventos más emblemáticos en la seguridad DeFi de 2026. Revela la vulnerabilidad fundamental en la arquitectura de verificación de un solo punto en modelos de confianza cross-chain, muestra cómo la crisis de activos puede propagarse rápidamente en un ecosistema DeFi altamente composable, y cómo la exposición a malas deudas en Aave transfiere el riesgo a todo el mercado de préstamos. La intervención de emergencia del comité de seguridad de Arbitrum para recuperar fondos robados ofrece una vía limitada, pero también genera un debate profundo sobre los límites de la gobernanza descentralizada.

La advertencia de Egorov sobre los riesgos del modelo de préstamos no aislados y la llamada a establecer estándares de seguridad unificados reflejan que DeFi atraviesa un momento de reflexión estructural. La tensión entre eficiencia de capital y seguridad del sistema nunca ha sido tan aguda: el “lego” de la composabilidad que sustentó el crecimiento acelerado de DeFi en los últimos años está siendo sometido a una prueba de resistencia tras la pérdida de confianza. Las altas frecuencias de incidentes en abril de 2026 envían una señal clara: si DeFi no logra establecer mecanismos de aislamiento de riesgos a nivel de protocolo, cada vulnerabilidad “evitable” seguirá erosionando la confianza en el largo plazo del sector.

Preguntas frecuentes (FAQ)

Pregunta: ¿Cuál fue la pérdida directa en KelpDAO?

El atacante robó aproximadamente 116,500 rsETH, con un valor de unos 292 millones de dólares en el mercado en ese momento. La Comisión de Seguridad de Arbitrum ya congeló unos 71 millones de dólares de los fondos robados, aproximadamente una cuarta parte del total.

Pregunta: ¿Cuál es el mayor riesgo de malas deudas que enfrenta Aave actualmente?

Dependiendo del plan de gestión, el monto de malas deudas de Aave oscila entre 123,7 millones y 341 millones de dólares. Si se adopta la opción de limitar las pérdidas solo a L2, la deuda incobrable puede llegar a unos 341 millones, sin cobertura por Umbrella.

Pregunta: ¿En qué se diferencia este ataque de otros incidentes de seguridad DeFi?

La raíz del problema no fue una vulnerabilidad en el código de contratos inteligentes, sino un problema en la configuración del puente cross-chain: KelpDAO usó una configuración de validación de un solo nodo DVN 1/1, lo que hizo que la brecha en la seguridad de ese nodo comprometido provocara la caída de toda la confianza en el sistema cross-chain.

Pregunta: ¿Qué recomendaciones específicas hizo Egorov tras el incidente?

Egorov llamó a establecer estándares de seguridad unificados en DeFi, sugirió reducir la cantidad de fallos de punto único en los sistemas, y en casos donde se requiera soluciones centralizadas, diseñar mecanismos que distribuyan la confianza. También propuso que instituciones como la Fundación de Ethereum y la Fundación Solana lideren la creación de principios y estándares de seguridad.

Pregunta: ¿Qué impulsa la contracción del TVL en DeFi?

El movimiento se debe a dos factores: primero, los protocolos congelaron activamente mercados afectados por riesgos; segundo, los usuarios reaccionaron con retiros masivos por pánico. La combinación de ambos ha provocado pérdidas de doble dígito en fondos en préstamos, re-collateralización y protocolos de rendimiento, reduciendo el TVL de aproximadamente 110 mil millones a unos 82,4 mil millones de dólares.

Pregunta: ¿Cuál será el impacto a largo plazo de este evento en DeFi?

El incidente expuso fallos estructurales en los modelos de préstamos no aislados y en la arquitectura de confianza cross-chain, lo que podría impulsar a la industria a priorizar la gestión del riesgo sistémico sobre la eficiencia de capital. La arquitectura “hub and spoke” de Aave v4 y la discusión sobre estándares de seguridad unificados serán puntos clave en la evolución futura.