Desde el ataque a KelpDAO hasta el riesgo de morosidad en Aave: análisis de la crisis de colaterales rsETH y el mecanismo de cobertura de reservas

El 18 de abril de 2026, un ataque que no tocó ningún código de contrato inteligente provocó que Aave, un protocolo de préstamos líder que nunca había tenido incidentes de seguridad, sufriera su mayor pérdida de crédito en la historia. El atacante acuñó de la nada 116,500 rsETH desde el puente cross-chain de KelpDAO, y luego depositó estos tokens sin respaldo de activos reales como colateral, prestó una gran cantidad de WETH y desapareció. Según datos de Gate Market, al 22 de abril de 2026, el precio del token AAVE era de 92.51 dólares, con una caída acumulada del 7.72% en los últimos 7 días, y el sentimiento del mercado era neutral. Sin embargo, las preocupaciones del mercado iban mucho más allá del precio del token: ¿podrá la reserva de seguridad Umbrella de Aave cubrir esta deuda incobrable que podría llegar hasta 230 millones de dólares? ¿Esta crisis desencadenará una contagiosa sistémica más amplia en DeFi?

Ataque preciso en cuarenta y seis minutos

El 18 de abril de 2026, a las 17:35 UTC, el puente cross-chain rsETH construido con LayerZero de KelpDAO fue atacado. En 46 minutos, el atacante liberó 116,500 rsETH desde la cadena principal de Ethereum, valorados en aproximadamente 292 millones de dólares según el precio de mercado en ese momento, representando casi el 18% del suministro total de rsETH. El grupo de firmas múltiples de emergencia de KelpDAO congeló rápidamente los componentes clave del protocolo, incluyendo el pool de liquidez LRT, el contrato de retiro, el oráculo y el token rsETH, logrando interceptar dos intentos de retiro posteriores por un total de 40,000 rsETH (aproximadamente 100 millones de dólares). Pero los 116,500 rsETH ya liberados fueron transferidos a ocho direcciones predefinidas de cash-out y rápidamente inyectados en los mercados de Aave V3 y V4.

Este monto de ataque convierte al incidente de KelpDAO en el mayor ataque a un protocolo DeFi en 2026 hasta la fecha.

Línea de tiempo de la evolución del evento

• Magnitud de la pérdida: 116,500 rsETH, aproximadamente 292 millones de dólares
• Mercados afectados de Aave: Ethereum Core, Arbitrum, Mantle, Base, Linea y otros 11 mercados
• Salida de TVL de Aave: aproximadamente 8.3 mil millones en dos días
• Pérdida total en DeFi: aproximadamente 10 mil millones de dólares

Análisis profundo de la cadena técnica

Este ataque no fue una explotación tradicional de vulnerabilidades en contratos inteligentes, sino un evento compuesto por una “configuración defectuosa en el puente” combinada con un “ataque a infraestructura de nivel estatal”. La cadena del ataque puede desglosarse en los siguientes pasos:

Paso 1: Obtener la lista de nodos RPC. El atacante obtuvo la lista de nodos RPC utilizados por la red de validadores descentralizados de LayerZero (DVN).

Paso 2: Envenenamiento de nodos RPC. El atacante comprometió dos nodos RPC, reemplazando su binario op-geth por una versión maliciosa. Estos nodos maliciosos proporcionaron datos falsos en la cadena a la red DVN, mientras aparentaban ser honestos para otros observadores.

Paso 3: DDoS y conmutación por error. El atacante lanzó ataques DDoS distribuidos contra los nodos RPC restantes, forzando al sistema DVN a redirigir todo el tráfico a los nodos envenenados.

Paso 4: Envío de mensajes falsificados. El atacante envió un mensaje de cross-chain falsificado que afirmaba provenir de KelpDAO Unichain. La DVN, basándose en los datos falsos de los nodos comprometidos, confirmó la validez del