Acabo de entender lo que ocurrió con Kelp DAO hace una semana, y honestamente, es una de las historias más duras de DeFi en todo 2026. En 46 minutos, desaparecieron 293 millones de dólares de la ecosistema. No fue un error de código, ni una vulnerabilidad en el contrato inteligente, sino un error de configuración que se convirtió en una crisis sistémica.

Esto fue lo que pasó: un atacante utilizó el puente entre cadenas de Kelp en LayerZero con una configuración DVN 1 de 1. En esencia, toda la validación de mensajes entre cadenas dependía de un solo nodo. Al comprometer o engañar a ese nodo, el atacante envió un mensaje falso que supuestamente confirmaba el bloqueo de activos. El puente emitió 116,500 rsETH ( aproximadamente el 18% de toda la oferta circulante ) a la dirección del atacante, sin bloquear el ETH real en la cadena de origen. Los tokens literalmente se crearon de la nada.

Luego fue aún peor. En lugar de vender los tokens en el mercado, el atacante depositó rsETH sin respaldo en Aave V3 como garantía, tomó 236 millones de dólares en WETH real, y luego repitió la maniobra en Aave V4. Para cuando Kelp DAO congeló los contratos (18:21 UTC), los activos reales ya estaban saliendo. Dos intentos de sacar otros 100 millones, ambos bloqueados, pero el primer golpe ya había cascada en DeFi.

Aave quedó atrapada. Cuando Kelp suspendió rsETH, todas las posiciones de préstamos aseguradas con ese activo se volvieron imposibles de liquidar. Aave quedó con 196 millones de dólares en deuda sin esperanza. El pool de WETH alcanzó un 100% de utilización, algunos usuarios no pudieron retirar sus fondos temporalmente. El pánico se extendió instantáneamente: la retirada de fondos de Aave alcanzó 5.4 mil millones de dólares en unas horas. El TVL cayó de más de 26 mil millones a 22 mil millones, una pérdida de 6.6 mil millones en un día. El token AAVE cayó un 20% en 24 horas (ahora se cotiza cerca de $95.54).

Lo más aterrador es que no fue un error de LayerZero. Fue una decisión de Kelp DAO de usar una configuración centralizada, que el protocolo permite, pero que crea un punto único de fallo peligroso. Mikhail Egorov, fundador de Curve Finance, dijo directamente: cuando confías en una sola parte, todo es posible.

La infección se extendió a al menos nueve plataformas: SparkLend, Fluid, Lido (detuvo su producto EarnETH), Compound V3, Euler y otros. Incluso Ethena suspendió temporalmente sus puentes LayerZero como medida de precaución, aunque no hubo impacto directo.

¿El dinero? Casi seguramente perdido. El atacante ya lavó los fondos a través de Tornado Cash, distribuyendo ETH en varias billeteras. Justin Sun de Tron propuso "hablar" con el atacante, pero parece un teatro: la pista ya está fría.

¿Qué significa esto para la industria? rsETH se consideraba un activo de confianza, correlacionado con ETH. La suposición implícita: los tokens de staking líquidos son tan seguros como el activo base. Esa suposición colapsó. Kelp DAO se quedó con un activo que no puede venderse realmente, y Aave con ETH maximizadamente prestado que nadie puede retirar.

Se espera que la industria responda con requisitos obligatorios para múltiples DVN en los puentes y estándares más estrictos para los protocolos de crédito. Pero por ahora, rsETH en más de 20 cadenas sigue en un estado de soporte incierto, hasta que Kelp publique una verificación de reservas comprobada.

Este no es el primer gran hack del año. En marzo, Resolv Labs perdió 80 millones, el 1 de abril, Drift Protocol perdió 285 millones (más tarde relacionado con actores norcoreanos). CoW Swap, Zerion, Rhea Finance, todo en abril. Las pérdidas totales de DeFi en 2026 ya superan los 450 millones de dólares en unos 45 protocolos. El jefe de seguridad de Ledger dice que probablemente será "el peor año para los hackeos".

La lección principal para los inversores: la composabilidad de DeFi corta en ambas direcciones. Lo que hace que el ecosistema sea poderoso — la interconexión — también lo convierte en el canal de contagio más rápido. Una vulnerabilidad en un solo protocolo se convierte en un evento sistémico en minutos. Si tienes rsETH o posiciones en protocolos de crédito, sigue de cerca los anuncios oficiales. Evita decisiones de pánico con información incompleta, pero tampoco ignores el riesgo de liquidez incluso en plataformas "seguras".

Es un recordatorio duro: en DeFi, la confianza no es solo tecnología, es arquitectura. Y la arquitectura de Kelp DAO resultó vulnerable no por el código, sino por la elección de configuración.