Acabo de lidiar con una de las historias más salvajes en DeFi en los últimos años. El 18 de abril, exactamente 46 minutos, fue todo lo que se necesitó para liquidar 293 millones de dólares de la ecosistema. Se trata del hackeo del puente de Kelp, y no es solo otro exploit, es una crisis sistémica que mostró cuán frágil puede ser toda la arquitectura de las finanzas descentralizadas.

Esto fue lo que ocurrió. El atacante aprovechó una vulnerabilidad en el puente entre cadenas de Kelp DAO, que funciona en LayerZero. Pero aquí está el truco: no fue un error de código. Fue un error de configuración. Kelp utilizaba la llamada configuración DVN 1 de 1, es decir, solo un nodo validador verificaba todos los mensajes entre cadenas. Un solo nodo. ¿Se imaginan? El atacante hackeó ese nodo o lo engañó, envió un mensaje falso, y el puente emitió 116,500 rsETH (aproximadamente 293 millones de dólares) simplemente así, sin respaldo, creados de la nada.

Luego empezó lo más interesante. En lugar de vender los tokens en el mercado, el hacker actuó de manera quirúrgica. Registró ese rsETH falso en Aave como garantía, tomó prestado WETH real, y luego repitió lo mismo en Aave V4. Para cuando Kelp pudo congelar los contratos (pasaron 46 minutos), los activos reales ya habían desaparecido. Intentar repetir el ataque dos veces más no funcionó solo porque el sistema ya estaba congelado.

Lo que ocurrió después fue un colapso en cascada. Aave quedó con 196 millones de dólares en deuda irrecuperable, porque el rsETH simplemente dejó de valer algo. El pool de WETH alcanzó un uso del 100%, la gente no podía retirar su dinero. El TVL de Aave cayó de 26 mil millones a 22 mil millones, una pérdida de 6.6 mil millones en un día. El token AAVE cayó un 20%, aunque ahora ya se recuperó a 98.91 dólares con un aumento del 3.31% en las últimas 24 horas.

El pánico fue provocado por retiros por 5.4 mil millones de dólares. La gente simplemente se asustó y empezó a salir en masa del protocolo. Es una pánico bancario clásico, pero en DeFi sucede en horas, no en días.

El incidente se extendió a al menos nueve otras plataformas: SparkLend, Fluid, Lido (su producto EarnETH), Compound, Euler y varias más. Todas ellas o congelaron los mercados de rsETH, o suspendieron operaciones como medida de precaución. Incluso Ethena, que no tenía exposición a rsETH, suspendió sus puentes LayerZero solo por miedo.

Lo que me sorprende de esta historia no es el aspecto técnico. El código de Kelp era correcto. Fue una decisión de configuración. Mikhail Egorov de Curve resumió bien: las cosas pueden suceder cuando confías en una sola parte, sea quien sea. Y esto no violaba ninguna regla de LayerZero: el protocolo simplemente permitió esa configuración.

En cuanto al dinero, casi es imposible recuperarlo. El hacker lavó rápidamente todo a través de Tornado Cash, distribuyendo los fondos en varias billeteras. ZachXBT identificó seis billeteras relacionadas con el atacante, todas prefinanciadas mediante un mezclador horas antes del hackeo. Justin San sugirió "hablar" con el hacker, pero eso parece más un teatro.

El año 2026 resultó ser un infierno para DeFi. Antes de Kelp, hubo varios hackeos importantes: Resolv Labs perdió unos 80 millones en marzo, Drift Protocol perdió 285 millones el 1 de abril (posteriormente vinculado a actores norcoreanos), luego CoW Swap, Zerion, Rhea Finance y otros diez protocolos menores. Las pérdidas totales en 2026 ya superan los 450 millones de dólares en aproximadamente 45 protocolos.

Para los inversores, esto significa varias cosas. Primero, el riesgo de liquidez es real incluso en plataformas "seguras". Cuando el TVL cae y los pools se usan al 100%, incluso quienes no tenían acceso al activo hackeado pueden quedar atrapados y no poder retirar su dinero. En segundo lugar, la composabilidad de DeFi funciona en ambas direcciones. La misma interconexión que hace que el sistema sea potente también lo convierte en el canal más rápido de contagio. La vulnerabilidad en un solo protocolo se vuelve un evento sistémico en minutos.

En tercer lugar, el soporte entre cadenas de activos no está garantizado. rsETH en más de 20 redes sigue en un estado de soporte indefinido, hasta que Kelp publique una verificación de reservas confiable. Cualquier quien haya aceptado wrsETH como garantía sigue expuesto al riesgo.

La industria responderá con requisitos obligatorios para múltiples DVN en los puentes, estándares más estrictos para los protocolos de crédito y auditorías exhaustivas de las integraciones LayerZero. Pero la lección aquí es más profunda: no se trata solo de técnica, sino de la filosofía de confianza en DeFi. La suposición implícita era que los tokens líquidos de respaldo eran tan seguros como el ETH base, si el protocolo era confiable. Esa premisa se desplomó.

Ahora muchos están reconsiderando su postura respecto a DeFi. El jefe de seguridad de Ledger dijo que 2026 probablemente será el peor año para hackeos y que la confianza en DeFi se está socavando activamente. Es una observación justa. Cuando una sola configuración en un protocolo puede liquidar 293 millones y provocar pánico por miles de millones, nos hace cuestionar qué entendemos por "seguridad" en este espacio.