La vulnerabilidad de Kelp DAO genera advertencias de seguridad en puentes cross-chain: DeFi United recauda 300 millones de dólares para compensar a los poseedores de rsETH

El 18 de abril de 2026 a las 17:35 UTC, los atacantes aprovecharon la vulnerabilidad en el puente rsETH basado en la infraestructura de capa cero de LayerZero en Kelp DAO, disfrazando paquetes de datos entrantes y liberando 116,500 rsETH, con un valor de mercado de aproximadamente 292 millones de dólares en ese momento. Las investigaciones de Chainalysis y ZachXBT apuntan a que el ataque fue llevado a cabo por el Grupo Lazarus de Corea del Norte, que mediante una combinación de ataques DDoS a nodos externos y manipulación de nodos RPC internos, logró eludir la verificación de la red de nodos de validación únicos.

Esto no fue una vulnerabilidad convencional de contrato inteligente—sin reentradas, sin permisos ausentes, sin manipulación de oráculos de precios. La verdadera brecha del atacante radicó en que: Kelp DAO utilizó una configuración de punto único de fallo 1-de-1 DVN, dependiente únicamente del nodo de validación operado por LayerZero Labs. Cuando los datos leídos por RPC en ese nodo fueron engañados con éxito, el contrato puente en Ethereum liberó rsETH falsificado, sin que ningún nodo de validación secundario pudiera intervenir para verificar.

El atacante no vendió directamente los rsETH robados en el mercado, sino que depositó aproximadamente 90,000 rsETH en Aave V3 como colateral, y tomó prestado ETH y otros activos por valor de unos 190 millones de dólares. Esto hizo que Aave asumiera una enorme deuda incobrable. El TVL de Aave cayó rápidamente de 26.4 mil millones a 17.9 mil millones de dólares, y en la red DeFi se retiraron en corto plazo más de 13 mil millones de dólares.

Hasta el 29 de abril de 2026, los datos de mercado de Gate muestran que el precio de ETH fluctuaba alrededor de 2,300 USD. Tras el ataque, el precio de rsETH cayó a un mínimo de 1,723 USD, creando una diferencia de aproximadamente 500 USD con ETH, reflejando el pánico del mercado ante la valoración de rsETH sin respaldo.

Lo que resulta aún más preocupante es que este incidente no fue un caso aislado. En el primer trimestre de 2026, los protocolos DeFi perdieron en total aproximadamente 168.6 millones de dólares por ataques de hackers; y en solo 20 días de abril, las pérdidas se dispararon a 606.2 millones de dólares—el mayor récord mensual desde febrero de 2025.

¿Por qué un nodo de validación único se convierte en una falla fatal en la infraestructura DeFi?

El ataque a Kelp DAO reveló un problema estructural subestimado durante mucho tiempo: el desequilibrio en la configuración de seguridad de las cadenas cruzadas. En la arquitectura de LayerZero, cada mensaje cross-chain debe ser verificado por una o varias redes de nodos de validación descentralizados para llegar a la cadena destino. Pero el puente rsETH de Kelp DAO solo configuró un nodo de validación—el DVN de LayerZero Labs—constituyendo un punto único de fallo.

Esta configuración no es un caso aislado. Cuanto más simple sea la lógica del puente cross-chain, menor será el número de nodos de validación, en busca de mayor velocidad en la confirmación de mensajes y menores costos de gas. Sin embargo, cuando solo un nodo de validación realiza la función de “testigo”, el atacante solo necesita comprometer esa única vía—ya sea el nodo RPC, el servidor del nodo de validación o los permisos operativos del personal—para saltarse toda la lógica de verificación cross-chain.

Aún más alarmante, la técnica del atacante es casi invisible para los métodos tradicionales de monitoreo en cadena. Cada transacción en la cadena parece completamente legal a nivel de bytecode: el mensaje fue retransmitido, la firma verificada, el contrato en la cadena destino ejecutó la respuesta correcta. Lo que realmente fue manipulado no fue el código del contrato inteligente, sino la capa de verificación off-chain que decide si “esta transacción cross-chain debe ser aprobada”.

Este tipo de ataques revela un cambio importante en los límites de seguridad de DeFi: las vulnerabilidades en contratos inteligentes ya no son la única fuente de riesgo sistémico. La infraestructura periférica de los puentes cross-chain—nodos RPC, redes de nodos de validación, servicios de firma off-chain—está formando un área de ataque cada vez mayor. En 2026, esta tendencia en la modalidad de ataque se acelera. Los ataques a Kelp DAO y Drift Protocol representaron en conjunto el 95% de las pérdidas totales de abril, indicando que los atacantes han expandido sistemáticamente su objetivo desde contratos inteligentes individuales hacia toda la capa de infraestructura de DeFi.

Es importante notar que en los primeros 4.5 meses de 2026, se registraron 47 ataques de hackers en el espacio cripto, frente a 28 en el mismo período de 2025, un aumento anual del aproximadamente 68%.

¿Cómo la financiación descentralizada (DeFi) puede transmitir una crisis de 13 mil millones de dólares en liquidez en forma de efecto dominó?

La esencia del ataque no fue solo el robo de tokens, sino la transmisión de riesgo a través de la característica de composabilidad de DeFi. Los rsETH falsificados fueron distribuidos a 7 direcciones diferentes, utilizados como colateral en múltiples protocolos de préstamo como Aave y Compound. Dado que estos rsETH no estaban respaldados por activos reales en la cadena, su uso como colateral en los préstamos en realidad inyectaba “cheques en blanco” en todo el mercado de préstamos.

Cuando estos colaterales falsificados se usaron para tomar prestado ETH real, el riesgo se vinculó profundamente con los mecanismos de liquidación, reservas de liquidez y la seguridad de los depósitos de los usuarios en los protocolos. Aave enfrentó doble presión: por un lado, la valoración de rsETH como colateral era poco confiable, aumentando significativamente el riesgo de incobrabilidad; por otro, el pánico del mercado llevó a los usuarios a retirar liquidez en masa, reduciendo aún más la capacidad del protocolo para gestionar las pérdidas. La Junta de Seguridad de Arbitrum congeló 30,766 ETH en las billeteras relacionadas con el atacante, limitando en cierta medida la expansión de las pérdidas.

Más allá, este incidente muestra el efecto negativo de la “composabilidad” en DeFi: cuando la dependencia entre protocolos es demasiado alta, una falla estructural en un eslabón puede rápidamente convertirse en un riesgo sistémico para todo el ecosistema, y la carga final recae en los depositantes y en los participantes en arbitraje entre protocolos.

¿Cómo se construye un “válvula de seguridad” de 130 millones de dólares en fondos en DeFi?

Hasta el 27 de abril de 2026, el plan de rescate coordinado por Stani Kulechov, fundador de Aave, bajo la iniciativa DeFi United, ha acumulado compromisos de fondos que superan los 303 millones de dólares. Los fondos provienen de múltiples actores clave en el ecosistema Ethereum, en formas flexibles de donaciones, depósitos y líneas de crédito.

Específicamente, los participantes comprometidos incluyen: Consensys y su fundador Joseph Lubin con un compromiso máximo de 30,000 ETH; Mantle con 30,000 ETH en línea de crédito; la propuesta de Aave DAO de aportar 25,000 ETH; EtherFi con hasta 5,000 ETH; Lido con una propuesta de gobernanza de 2,500 stETH; Compound con una asignación de 3,000 ETH; Renzo con más de 10 millones de dólares en fondos; Babylon Foundation con 3 millones de USDT en depósitos; Circle Ventures apoyando mediante compra de tokens AAVE; además de Avalanche Foundation, Solana Foundation y Sun Yuchen, cuyos montos aún no se han divulgado.

Es importante destacar que LayerZero, el protocolo cross-chain, se unió al rescate en el quinto día tras el incidente con una promesa de 10,000 ETH, incluyendo 5,000 ETH donados directamente al fondo DeFi United y otros 5,000 ETH depositados en Aave para fortalecer su liquidez. Puffer Finance anunció el 29 de abril que utilizaría fondos de su tesorería para participar en DeFi United, convirtiéndose en un participante clave en la re-pledging.

El fondo total de rescate ha superado los 100,360 ETH, constituyendo la mayor movilización de fondos entre protocolos en la historia de DeFi, marcando una evolución en los mecanismos de respuesta a crisis sistémicas.

¿Cómo se implementa paso a paso la recuperación mediante colaterales falsificados y reemplazo en lotes de ETH?

El plan de rescate de DeFi United se basa en una ejecución por fases, cuyo objetivo principal es restaurar completamente el respaldo de activos del token rsETH y cubrir las pérdidas dejadas por los hackers norcoreanos en los protocolos de préstamo Aave y Compound. La estrategia consiste en acuñar en lotes ETH comprometidos para reconstruir el valor subyacente del colateral rsETH. Antes de ello, los protocolos ajustarán temporalmente los valores del oráculo de precios para el colateral rsETH, permitiendo iniciar liquidaciones controladas. Los tokens recuperados en liquidaciones serán enviados a una billetera multisig de DeFi United, y luego intercambiados por ETH mediante el proceso estándar de Kelp, para finalmente cubrir las brechas de fondos en los mercados de préstamo afectados.

Lo más importante es que el diseño del plan considera las restricciones de gobernanza descentralizada: la mayoría de los fondos comprometidos aún requieren aprobación mediante votación DAO en sus respectivos protocolos, por lo que la ejecución final dependerá de la eficiencia en la gestión paralela de múltiples procesos de gobernanza.

Este plan no busca simplemente pagar a los atacantes, sino que pretende reducir el impacto secundario en los usuarios y la liquidez de los protocolos al restaurar el valor intrínseco del colateral. La lógica es: si DeFi permite que activos sin respaldo acumulen pérdidas en los préstamos, el daño final será la confianza en todo el ecosistema, no solo en un protocolo. Por ello, la mecánica de rescate es una intervención activa en el riesgo sistémico, no una evaluación moral de las acciones individuales.

¿El respaldo de los competidores en conjunto está reconfigurando la confianza en DeFi?

La singularidad de la acción de rescate DeFi United radica en la amplitud de participación y en la alta colaboración entre múltiples actores. Más de 14 participantes del ecosistema—muchos de ellos competidores directos en diferentes sectores—asumen conjuntamente responsabilidades financieras bajo un marco unificado. Este mecanismo de coordinación sectorial no depende de órdenes de una autoridad central, sino que se basa en promesas transparentes en cadena, fondos agrupados en billeteras multisig y una ejecución técnica en fases.

En la narrativa tradicional de DeFi, la competencia entre protocolos se centra en rendimientos, escala de liquidez y mecanismos de gobernanza. Este modelo en condiciones normales impulsa iteraciones de productos y mejoras en eficiencia. Pero ante riesgos sistémicos, los protocolos individuales suelen carecer de la capacidad de resolver de forma independiente las “enfermedades contagiosas” de las malas deudas. El incidente de Kelp DAO muestra que la profunda acoplamiento de puentes cross-chain y protocolos de préstamo hace que la exposición al riesgo no pueda ser segmentada ni aislada a nivel de cada contrato.

La aparición de esta acción de rescate marca una transición en DeFi: de un sistema de competencia pura a uno que incorpora cierto grado de responsabilidad colectiva. No es un acto puramente altruista—los participantes en la ayuda incluyen tanto protocolos expuestos a malas deudas como actores preocupados por la confianza del ecosistema. Aunque sus motivaciones difieren, todos coinciden en la necesidad de “mantener la confianza general de DeFi”. Esta práctica de coordinación interinstitucional quizás no sea la solución definitiva a los riesgos sistémicos, pero sí ofrece un ejemplo de cómo DeFi puede evolucionar hacia una mayor resiliencia ante crisis.

Resumen

El ataque de 292 millones de dólares en el puente cross-chain de Kelp DAO, hasta ahora el mayor incidente de seguridad en DeFi en 2026, tiene su raíz técnica en una vulnerabilidad estructural en la configuración de un solo nodo de validación. La técnica del atacante trasciende las vulnerabilidades tradicionales de contratos inteligentes, apuntando a la capa de verificación off-chain, exponiendo una brecha en la seguridad de la monitorización cross-chain.

La acción de rescate liderada por Aave, con un total de 303 millones de dólares en fondos comprometidos, estableció el mayor récord de coordinación interprotocol en la historia de DeFi, con más de 14 protocolos participando mediante donaciones, depósitos y líneas de crédito, demostrando la capacidad de colaboración del sector ante crisis sistémicas. Este evento confirma una lógica: la profundización en la interoperabilidad cross-chain implica que los efectos negativos de la composabilidad se acumulen, y que la valoración de riesgos en DeFi y la seguridad de la infraestructura aún tienen un desfase temporal. La efectividad del rescate dependerá en última instancia de la eficiencia en la gobernanza y en el cumplimiento de los compromisos por parte de los participantes.

Preguntas frecuentes

Pregunta: ¿Cómo ocurrió el ataque a Kelp DAO?

Respuesta: Los atacantes aprovecharon la vulnerabilidad en la configuración de un solo nodo de validación en el puente cross-chain de LayerZero en Kelp DAO. Mediante la falsificación de mensajes entrantes, engañaron al nodo de validación único, haciendo que el contrato puente en Ethereum creyera que la transferencia cross-chain había sido completada, y así liberaron 116,500 rsETH, valorados en aproximadamente 292 millones de dólares.

Pregunta: ¿De dónde provienen los fondos del plan de rescate DeFi United?

Respuesta: Hasta el 27 de abril, el plan ha recibido compromisos que superan los 303 millones de dólares, con participación de Consensys, Lido, EtherFi, Mantle, Compound, Renzo, Babylon Foundation, LayerZero (10,000 ETH), Puffer Finance, entre otros.

Pregunta: ¿Cómo pueden los poseedores de rsETH obtener compensación?

Respuesta: DeFi United planea acuñar en lotes ETH comprometidos para reconstruir el valor del colateral rsETH. Durante la ejecución, los activos afectados serán transferidos a una billetera multisig, intercambiados por ETH mediante el proceso estándar de Kelp, y utilizados para cubrir las pérdidas en los mercados de préstamo afectados.

Pregunta: ¿Qué impacto tiene este incidente en la evolución de la seguridad en DeFi?

Respuesta: El evento muestra que los riesgos en DeFi se han expandido desde vulnerabilidades en contratos inteligentes hacia la capa de verificación off-chain en infraestructura cross-chain. Esto requiere la implementación de sistemas de monitoreo de integridad de datos cross-chain y mecanismos de verificación de la autenticidad de los mensajes y tokens en las cadenas.

Pregunta: ¿Cómo pueden los protocolos DeFi prevenir ataques similares en el futuro?

Respuesta: Las estrategias clave incluyen: 1) configurar múltiples nodos de validación independientes para eliminar puntos únicos de fallo; 2) construir sistemas de monitoreo de integridad en la transmisión de datos cross-chain; 3) promover la compartición de información de riesgos y mecanismos coordinados entre protocolos para responder rápidamente a riesgos sistémicos.