Kelp DAO vulnerabilidad impacta a Aave: historia de 230 millones de dólares en préstamos incobrables y la evaporación de 9 mil millones de dólares en TVL

El 18 de abril de 2026, a las 17:35 UTC, el puente de cross-chain de rsETH de Kelp DAO fue atacado. El atacante acuñó aproximadamente 116,500 rsETH de la nada en 46 minutos, valorados en unos 293 millones de dólares según los precios del mercado en ese momento, representando aproximadamente el 18% del suministro total de ese token. La raíz técnica directa del incidente no fue un fallo en el código del contrato inteligente, sino un parámetro de despliegue ignorado: Kelp DAO utilizó una configuración DVN (Red de Validadores Descentralizados) de 1/1, lo que significa que solo un nodo validador necesita confirmar para aprobar mensajes cross-chain. El atacante, al comprometer la infraestructura RPC en la que dependía ese único nodo validador, falsificó un mensaje cross-chain que afirmaba que “en la cadena fuente ya se habían bloqueado rsETH”, y como el contrato puente de Kelp no verificó estrictamente la “cadena origen”, ejecutó directamente la liberación.

La documentación oficial de LayerZero recomienda por defecto una configuración DVN de 2/2, que emplea mecanismos de redundancia con múltiples validadores. Sin embargo, Kelp DAO estableció un umbral de validación en la configuración más extrema, “1 de 1”. Esta configuración creó una brecha de “punto único de fallo”, y las herramientas tradicionales de auditoría de seguridad —como Slither, Mythril, etc.— se centran en detectar vulnerabilidades en el código del contrato inteligente, siendo casi impotentes frente a riesgos en la configuración de parámetros. Esto revela un problema estructural: la seguridad de los protocolos DeFi no solo depende de la calidad del código, sino también de la prudencia en la configuración de despliegue.

¿Cómo la falsificación de colaterales invade el sistema de préstamos Aave?

Tras obtener esa cantidad de rsETH sin respaldo real, el atacante no optó por venderla directamente en el mercado secundario —ya que la liquidez de rsETH no es suficiente y una venta grande provocaría un deslizamiento severo—, sino que usó esos “activos de aire” como colateral en protocolos de préstamos principales como Aave V3, prestando aproximadamente 236 millones de dólares en WETH y ETH reales. Este fue el giro fatal: en lugar de intentar vulnerar el contrato central de Aave, el atacante aprovechó la composabilidad entre protocolos DeFi, usando la vulnerabilidad de Kelp DAO como trampolín para tomar prestado en el sistema de Aave activos reales en la cadena, dejando un montón de colaterales “sin valor” que en realidad eran aire.

Como token de re-pledge líquido, rsETH debería estar respaldado por reservas reales en el puente cross-chain. Cuando esas reservas se vacían, el valor de rsETH colapsa instantáneamente. Sin embargo, los oráculos de Aave seguían valorando esos colaterales a precios previos al ataque, lo que impidió una liquidación efectiva de las posiciones de préstamo. El equipo de Aave respondió rápidamente, congelando de emergencia los mercados de rsETH en la red principal de Ethereum, así como en Arbitrum, Optimism, Base, Mantle y Linea, y ajustando el Loan-to-Value (LTV) de rsETH a 0, bloqueando técnicamente cualquier nueva toma de préstamos.

¿Por qué la utilización del pool de fondos alcanzó el 100%?

Tras el ataque, en la plataforma Aave se produjo una corrida masiva de fondos. La retirada de fondos de forma panicked llevó la utilización del pool de WETH al 100%, lo que significa que toda la liquidez disponible para prestar fue tomada, y los depositantes no pudieron retirar más. Al mismo tiempo, la tasa de interés anual de los préstamos en USDT subió hasta un 14.99%, y la de depósitos también se disparó a un 13.39%, reflejando una volatilidad extrema en las tasas por un desequilibrio súbito en la oferta y demanda de liquidez.

La raíz de este fenómeno es una crisis de crédito y de liquidez combinadas. Los mecanismos de tasas pueden gestionar fluctuaciones normales, pero no pueden afrontar una crisis de “autenticidad” del colateral. Cuando los depositantes perciben que el colateral rsETH puede no ser recuperable, la estrategia racional es retirar sus fondos inmediatamente. Pero si todos actúan así, la liquidez del pool se agota en muy poco tiempo. Este mecanismo amplifica varias veces el impacto de la vulnerabilidad de Kelp: aunque el contrato principal de Aave no fue vulnerado, la ruptura en la confianza del colateral se transmite directamente a la liquidez del sistema.

¿Por qué la fuga de fondos de 9 mil millones de dólares en TVL?

Antes del incidente, el TVL (Total Value Locked) de Aave era de aproximadamente 264 mil millones de dólares, y tras 48 horas del ataque cayó a unos 180 mil millones, una pérdida de unos 84 mil millones, más del 31%. Paralelamente, el TVL total en DeFi en toda la cadena pasó de unos 994.9 mil millones a unos 862.9 mil millones de dólares, una reducción de aproximadamente 132 mil millones. Si se suman las retiradas relacionadas con re-pledging de liquidez y estrategias de rendimiento, la pérdida total en valor bloqueado en todo el ecosistema DeFi se acerca a 90 mil millones de dólares.

Las grandes retiradas de fondos por parte de ballenas son la principal causa de la caída del TVL. Datos en cadena muestran que Abraxas Capital retiró 392 millones, MEXC retiró 431 millones, y hubo una retirada masiva de más de 400 millones en una sola operación por parte de una ballena. Estas acciones de retirada masiva tienen una lógica de gestión de riesgo clara: antes de que se aclare la certeza del respaldo de rsETH, mantener exposición a ese riesgo no es racional. La magnitud y velocidad de estas retiradas marcan récords históricos en DeFi, reflejando una reevaluación radical del riesgo de crédito en activos cross-chain, en una forma extremadamente agresiva.

¿Bad debt de 124 millones o 230 millones? Discrepancias en las soluciones

El monto exacto de la deuda incobrable dependerá de la decisión final de gobernanza de Aave. La firma de riesgo LlamaRisk presenta dos escenarios:

Escenario 1 (pérdida social en toda la cadena): La pérdida se reparte proporcionalmente entre todos los poseedores de rsETH. LlamaRisk estima que esto provocará una desconexión sistémica de aproximadamente el 15% en rsETH, y que la deuda incobrable asumida por Aave sería de unos 124 millones de dólares.

Escenario 2 (aislamiento en L2): La pérdida se limita a rsETH en L2, manteniendo intacto el rsETH en la cadena principal de Ethereum. Sin embargo, este escenario resulta en una cifra de deuda incobrable aún mayor: considerando un descuento del 73.54% en los colaterales cross-chain, Aave estima que la deuda incobrable ascendería a unos 230 millones de dólares, con Mantle representando el 71.45% del déficit y Arbitrum el 26.67%.

La diferencia entre ambos escenarios ronda los 100 millones de dólares. En esencia, es una “cuestión política” de distribución del riesgo: ¿los costos los asumen todos los participantes en la cadena, o solo los poseedores en una cadena específica? La tesorería de Aave DAO tiene unos 181 millones de dólares en reservas, y el escenario dos los sobrepasaría, además de que el valor de las reservas de Umbrella está entre 80 y 100 millones, y Aave generó ingresos por 145 millones en 2025. Estos recursos podrían servir de amortiguador, pero decidir cómo cubrir las pérdidas sin perjudicar a los usuarios principales requiere una cuidadosa deliberación de la gobernanza.

¿De un punto único de fallo a la propagación en toda la cadena? ¿Cómo se extienden los riesgos de liquidación?

0xngmi, fundador de DeFiLlama, analizó tres posibles acciones que podría tomar KelpDAO, cada una con defectos evidentes:

Ruta 1 (compartir el riesgo socialmente): KelpDAO ajusta proporcionalmente las pérdidas a todos los poseedores de rsETH en toda la cadena, con una reducción del 18.5%. Aave tiene aproximadamente 666,000 rsETH en garantía, y si se asume un LTV de 95% en alto apalancamiento, esto generaría unos 216 millones de dólares en deuda incobrable.

Ruta 2 (aislamiento en L2): KelpDAO solo garantiza rsETH en la cadena principal, considerando que en L2 los rsETH no tienen valor. En L2, hay unos 359 millones de dólares en colaterales rsETH, y si se calcula con el máximo apalancamiento, la deuda incobrable sería de unos 341 millones, sin cobertura por parte de Umbrella, lo que podría colapsar los mercados en Arbitrum, Mantle y Base.

Ruta 3 (reembolso por snapshot): Solo reembolsar a los poseedores de rsETH antes del ataque, en base a un snapshot. Pero dado que los fondos se movieron rápidamente tras el ataque y que en DeFi las posiciones son pools de liquidez, es muy difícil distinguir qué depósitos corresponden a qué usuarios, haciendo esta opción técnicamente muy compleja.

Estas rutas muestran que la propagación del riesgo de liquidación no es lineal, sino que presenta una “jerarquía de riesgos”: los riesgos en la cadena principal y en las distintas L2 son significativamente diferentes. Esta estructura de diferenciación hace que la distribución final de las pérdidas sea altamente incierta.

Lecciones estructurales: los límites de la autenticidad en la entrada de colaterales DeFi

El impacto más profundo de este incidente no es solo la cantidad de deuda incobrable, sino que revela una brecha estructural en la gestión del riesgo de colaterales en DeFi. Aunque los contratos principales de Aave no fueron vulnerados, la ruptura en la confianza en la validez del colateral se transmite directamente a la seguridad del sistema de préstamos. Esto significa que la seguridad de los protocolos DeFi ya no depende únicamente de que su código sea sin fallos, sino también de la fiabilidad de toda la cadena técnica y de gobernanza que respalda los colaterales aceptados.

La combinación de puentes cross-chain, re-pledging y protocolos de préstamo crea una cadena de efectos en la que la falla de un eslabón puede amplificarse sistémicamente. Cuando un colateral deja de reflejar activos reales en la cadena, el modelo de riesgo pasa de ser “volatilidad” a “falta de autenticidad”, un riesgo que generalmente no se contempla en las pruebas de estrés convencionales. Aunque Aave ha ajustado rápidamente el LTV de rsETH a 0 y ha congelado reservas en los mercados afectados, estas medidas solo contienen la expansión del riesgo, sin poder revertir las pérdidas ya ocurridas.

De cara al futuro, los protocolos de préstamo en DeFi deberán reevaluar sus estándares de admisión para colaterales cross-chain y tokens de re-pledge. La seguridad en la verificación de la autenticidad del colateral, la seguridad de los mecanismos de validación en los puentes y la fiabilidad de toda la cadena de gobernanza serán temas centrales en la próxima fase de desarrollo de la gestión de riesgos en DeFi.

Resumen

La vulnerabilidad en la configuración DVN 1/1 de Kelp DAO fue la causa inmediata del incidente, pero el problema estructural más profundo es la falta de un mecanismo de gestión del riesgo de autenticidad en los colaterales en el ecosistema DeFi. Los atacantes aprovecharon la falsificación de mensajes cross-chain para acuñar unos 293 millones de dólares en rsETH, usándolos como colateral en Aave para tomar prestados activos reales, generando una deuda incobrable entre 124 millones y 230 millones de dólares. En 48 horas, el TVL (Total Value Locked) se evaporó en unos 84 mil millones, y la fuga de fondos en toda la cadena superó los 130 mil millones, con la utilización del pool alcanzando el 100% y tasas de interés en extremos niveles. La gobernanza de Aave enfrenta una difícil decisión sobre la distribución de pérdidas: ¿compartirlas en toda la cadena o aislar en L2? Cada opción tiene costos y controversias. Este evento marca un cambio en el paradigma de gestión de riesgos en DeFi: la seguridad de los protocolos ya no depende solo de su código, sino también de la fiabilidad de toda la cadena técnica y de gobernanza que respalda los colaterales. La configuración de validadores, la seguridad en los mecanismos de verificación y la autenticidad de los colaterales serán los ejes clave en la próxima etapa de construcción de un sistema de gestión de riesgos en DeFi.

Preguntas frecuentes (FAQ)

Pregunta: ¿El contrato inteligente de Aave fue vulnerado?

Respuesta: No. La vulnerabilidad principal está en la configuración del puente cross-chain de Kelp DAO, los contratos de Aave no fueron atacados, siendo un riesgo de “contaminación” en la cadena superior.

Pregunta: ¿Quién asumirá la deuda incobrable de Aave?

Respuesta: Depende de la decisión final de gobernanza. Hay dos escenarios principales: que todos los poseedores de rsETH en toda la cadena compartan la pérdida (unos 124 millones de dólares) o que se limite a aislar en L2, con una deuda potencial de unos 230 millones.

Pregunta: ¿Cuál es el precio actual del token AAVE?

Respuesta: Al 22 de abril de 2026, el precio en tiempo real en la plataforma Gate es de aproximadamente 91.16 dólares. Antes del incidente, rondaba los 115 dólares, con una caída acumulada superior al 20%.

Pregunta: ¿Qué es la configuración DVN? ¿Por qué la configuración 1/1 es riesgosa?

Respuesta: DVN (Red de Validadores Descentralizados) es el mecanismo de verificación de mensajes en LayerZero. La configuración 1/1 requiere solo un validador, por lo que si ese nodo es comprometido, el atacante puede falsificar cualquier mensaje.

Pregunta: ¿El respaldo de rsETH en la cadena es seguro ahora mismo?

Respuesta: Kelp aún no ha publicado los resultados finales de conciliación de reservas y emisiones pendientes. La incertidumbre en la validez del respaldo en todas las cadenas es la razón principal por la que Aave no puede iniciar liquidaciones.

Pregunta: ¿Qué impacto tendrá este evento en la industria DeFi a largo plazo?

Respuesta: La principal lección es la necesidad de mecanismos robustos para verificar la autenticidad de los colaterales cross-chain. En el futuro, los estándares de admisión de tokens en préstamos DeFi se endurecerán, y la configuración de validadores únicos probablemente será eliminada.