18 de abril de 2026, 17:35 (UTC): un atacante explotó una vulnerabilidad en el puente rsETH de Kelp DAO, construido sobre la infraestructura cross-chain de LayerZero. Mediante la suplantación de paquetes de datos entrantes, el atacante liberó 116 500 rsETH, valorados en aproximadamente 292 millones de dólares en ese momento. Las investigaciones de Chainalysis y ZachXBT señalaron al Grupo Lazarus de Corea del Norte. Los atacantes lograron eludir los controles de seguridad de la red de un único nodo validador combinando ataques DDoS contra nodos externos con la manipulación de nodos RPC internos.
No se trató de un exploit típico de contrato inteligente: no hubo ataques de reentrancy, ni permisos ausentes, ni manipulación de oráculos de precios. El verdadero punto de inflexión para el atacante fue que Kelp DAO utilizaba un único punto de fallo: una configuración DVN 1-de-1, confiando exclusivamente en el nodo validador operado por LayerZero Labs. Una vez que los datos RPC de este nodo fueron suplantados con éxito, el contrato puente en Ethereum liberó rsETH real ante un mensaje cross-chain falsificado, sin que existiera un nodo validador secundario para verificar la transacción.
En lugar de vender directamente los rsETH robados en el mercado, el atacante depositó cerca de 90 000 rsETH en Aave V3 como colateral y pidió prestados aproximadamente 190 millones de dólares en ETH y otros activos. Esta maniobra dejó a Aave con una enorme cantidad de deuda incobrable. El TVL de Aave cayó de 26,4 mil millones a 17,9 mil millones de dólares, y más de 13 mil millones de capital salieron del ecosistema DeFi en muy poco tiempo.
A 29 de abril de 2026, los datos de mercado de Gate mostraban ETH cotizando en torno a 2 300 dólares. Tras el ataque, el precio de rsETH cayó momentáneamente hasta los 1 723 dólares, generando una diferencia de 500 dólares respecto a ETH, una señal clara del pánico del mercado ante rsETH sin respaldo.
Lo más preocupante es que este incidente no fue un caso aislado. Solo en el primer trimestre de 2026, los protocolos DeFi sufrieron pérdidas de unos 168,6 millones de dólares por ataques. En apenas los primeros 20 días de abril, las pérdidas se dispararon hasta los 606,2 millones de dólares, el total mensual más alto desde febrero de 2025.
¿Por qué un único nodo validador es una vulnerabilidad fatal en la infraestructura DeFi?
El ataque a Kelp DAO puso de manifiesto un problema estructural largamente subestimado: la configuración desequilibrada de la seguridad cross-chain. En la arquitectura de LayerZero, cada mensaje cross-chain debería ser validado por una o más redes descentralizadas de nodos validadores antes de llegar a la cadena de destino. Sin embargo, el puente rsETH de Kelp DAO dependía de un solo nodo validador (LayerZero Labs DVN), creando un punto único de fallo de facto.
Esta configuración no es única. Cuanto más simple es la lógica del puente cross-chain, menos nodos validadores se suelen utilizar, sacrificando seguridad a cambio de confirmaciones más rápidas y menores costes de gas. Pero cuando un solo nodo validador asume la función de "testigo", el atacante solo necesita comprometer ese eslabón—ya sea el nodo RPC, el servidor validador o las credenciales del operador—para eludir todo el proceso de validación cross-chain.
Más alarmante aún, los métodos del atacante pasaron casi inadvertidos para la monitorización tradicional on-chain. Cada transacción en cadena parecía perfectamente legítima a nivel de bytecode: los mensajes se retransmitían, las firmas se verificaban y el contrato de la cadena de destino ejecutaba la respuesta correcta a la solicitud cross-chain. La manipulación real ocurrió fuera de la cadena, en la capa de validación que decide si un mensaje cross-chain debe ser aprobado.
Este tipo de ataque marca un cambio importante en el perímetro de seguridad de DeFi: las vulnerabilidades de los contratos inteligentes ya no son la única fuente de riesgo sistémico. La infraestructura periférica de los puentes cross-chain—nodos RPC, redes de validadores, servicios de firmas off-chain—se ha convertido en una superficie de ataque cada vez más atractiva. En 2026, este vector de ataque está acelerándose. Los ataques a Kelp DAO y Drift Protocol representaron juntos el 95 % de las pérdidas totales de DeFi en abril, mostrando claramente que los atacantes están ampliando sistemáticamente sus objetivos, pasando de contratos inteligentes individuales a toda la capa de infraestructura DeFi.
Cabe destacar también que, en los primeros 4,5 meses de 2026, se produjeron 47 hackeos de criptomonedas, frente a 28 en el mismo periodo de 2025, lo que supone un aumento interanual de aproximadamente el 68 %.
¿Cómo desencadenó el lending descentralizado un shock de liquidez de 13 mil millones de dólares?
El núcleo del ataque no fue simplemente el robo de tokens, sino el uso de la composabilidad DeFi para transmitir el riesgo entre protocolos. El rsETH falsificado fue distribuido por el atacante a siete direcciones diferentes y ampliamente utilizado como colateral en protocolos de lending como Aave y Compound. Dado que estos rsETH no estaban respaldados por activos reales en cadena, utilizarlos como colateral equivalía a inyectar "cheques en blanco" en el mercado de préstamos.
Una vez que este colateral falso se utilizó para pedir prestado ETH real, el riesgo se integró profundamente en los mecanismos de liquidación de los protocolos, las reservas de liquidez y la seguridad de los depósitos de los usuarios. Aave se vio presionada por dos frentes: primero, el valor de rsETH como colateral se volvió poco fiable, incrementando drásticamente el riesgo de deuda incobrable; segundo, el pánico del mercado llevó a los usuarios a retirar liquidez en masa, restringiendo aún más la capacidad del protocolo para absorber pérdidas. Tras el incidente, el Arbitrum Security Council congeló 30 766 ETH en monederos vinculados al atacante, lo que ayudó a contener en parte las pérdidas.
Más importante aún, este evento puso de relieve el lado negativo de la "composabilidad" DeFi: cuando los protocolos están altamente interconectados, un fallo estructural en uno puede escalar rápidamente a un riesgo sistémico para todo el ecosistema. Al final, son los depositantes y los arbitrajistas cross-protocolo quienes asumen el coste.
¿Cómo funciona un fondo de rescate de 303 millones de dólares como válvula de seguridad de DeFi?
A 27 de abril de 2026, la iniciativa de rescate DeFi United, coordinada por el fundador de Aave, Stani Kulechov, había asegurado más de 303 millones de dólares en fondos comprometidos. El fondo abarca múltiples actores clave del ecosistema Ethereum y opera de forma flexible mediante donaciones, depósitos y líneas de crédito.
En concreto, los compromisos públicos incluyen: Consensys y su fundador Joseph Lubin, que prometieron hasta 30 000 ETH; Mantle, que ofreció una línea de crédito de 30 000 ETH; Aave DAO, que propuso 25 000 ETH; EtherFi, hasta 5 000 ETH; Lido, una propuesta de gobernanza de 2 500 stETH; Compound, una subvención de 3 000 ETH; Renzo, más de 10 millones de dólares de su tesorería; Babylon Foundation, un depósito de 3 millones de USDT; Circle Ventures, que apoyó comprando tokens AAVE; y la Avalanche Foundation, Solana Foundation y Justin Sun, que también participan, aunque aún no han revelado los importes.
Cabe destacar que el protocolo cross-chain LayerZero se unió al rescate en el quinto día del incidente con un compromiso de 10 000 ETH: 5 000 ETH como donación directa al fondo DeFi United y otros 5 000 ETH depositados en Aave para reforzar la liquidez. El 29 de abril, Puffer Finance anunció que utilizaría fondos de su tesorería para participar, convirtiéndose en un actor clave del sector restaking dentro de la iniciativa.
El fondo de rescate ya supera los 100 360 ETH, lo que convierte esta operación en el mayor esfuerzo de coordinación de capital cross-protocolo en la historia de DeFi, un cambio de paradigma en la respuesta del sector ante crisis sistémicas.
De la liquidación de colateral fraudulento a swaps masivos de ETH: ¿cómo avanza el plan de rescate?
El plan de rescate de la alianza DeFi United está estructurado en fases, con el objetivo central de restaurar completamente el respaldo de rsETH y cubrir la deuda incobrable dejada por los hackers norcoreanos en Aave y Compound. El plan se basa en ir acuñando gradualmente ETH comprometido de nuevo en rsETH para reconstruir su valor subyacente. Antes de ello, los protocolos ajustarán temporalmente el valor del oráculo de precio de rsETH como colateral para activar liquidaciones controladas. Los tokens recuperados mediante liquidación se enviarán a la wallet multisig de DeFi United, para luego ser intercambiados por ETH a través del proceso estándar de Kelp, cubriendo así el déficit de fondos en los mercados de lending afectados.
Un aspecto clave es que el plan está diseñado bajo gobernanza descentralizada: la mayoría de los fondos comprometidos aún requieren aprobación formal mediante votación DAO en cada protocolo, por lo que el ritmo de ejecución dependerá del avance paralelo de múltiples procesos de gobernanza.
Este plan no busca rescatar a los atacantes, sino restaurar el valor intrínseco del colateral y minimizar los impactos secundarios en usuarios y liquidez de los protocolos. La lógica es clara: si DeFi permite que activos sin respaldo sigan acumulando deuda incobrable en los protocolos de lending, la base crediticia de todo el ecosistema—no solo la de un protocolo—acabará dañándose. Así, el mecanismo de rescate es, en esencia, una intervención proactiva frente al riesgo sistémico, no un juicio moral sobre acciones individuales.
Cuando los competidores unen fuerzas: ¿está el rescate redefiniendo el mecanismo de confianza en DeFi?
La singularidad del rescate DeFi United reside en la amplitud de participantes y el alto grado de colaboración entre entidades. Más de 14 actores del ecosistema, incluidos competidores directos, comparten la responsabilidad financiera bajo un marco unificado. Esta coordinación sectorial no responde a mandatos centralizados, sino a compromisos transparentes on-chain, agregación de fondos multisig y ejecución técnica por fases.
Tradicionalmente, la competencia en DeFi se ha centrado en el rendimiento, la escala de liquidez y los incentivos de gobernanza. En mercados normales, esta competencia impulsa la innovación y la eficiencia. Pero cuando surge el riesgo sistémico, los protocolos individuales suelen carecer de capacidad para resolver de forma independiente grandes "deudas incobrables contagiosas". El incidente de Kelp DAO demostró que el fuerte acoplamiento entre puentes cross-chain y protocolos de lending impide aislar el riesgo a nivel de protocolo.
La aparición de acciones de rescate coordinadas marca un cambio en las finanzas descentralizadas: del libre mercado puro a un modelo que incorpora responsabilidad colectiva. No se trata de altruismo puro—algunos participantes están directamente expuestos al riesgo de deuda, mientras que otros temen un colapso de la confianza en el ecosistema. Las motivaciones difieren, pero existe consenso en el objetivo final: mantener la solvencia global de DeFi. Aunque este tipo de coordinación entre entidades no sea la solución definitiva al riesgo sistémico, ofrece un modelo valioso para la evolución de DeFi hacia una mayor capacidad de autorreparación.
Resumen
El ataque al puente cross-chain de Kelp DAO, valorado en 292 millones de dólares, es el mayor incidente de seguridad DeFi de 2026 hasta la fecha, y tiene su origen en una vulnerabilidad estructural de la capa de infraestructura: la dependencia de un único nodo validador. Los atacantes eludieron las vulnerabilidades tradicionales de los contratos inteligentes, atacando la capa de validación off-chain y exponiendo un punto ciego en la monitorización de la seguridad cross-chain.
La iniciativa de rescate DeFi United, liderada por Aave, ha marcado un hito en la coordinación de capital entre entidades en DeFi, con más de 303 millones de dólares comprometidos por más de 14 protocolos mediante donaciones, depósitos y líneas de crédito, demostrando la capacidad del sector para colaborar ante crisis sistémicas. Este incidente subraya una lógica clave: a medida que la interoperabilidad cross-chain se profundiza, los efectos negativos de la composabilidad seguirán acumulándose, y persiste un claro desfase entre los mecanismos de pricing del riesgo en DeFi y la evolución de la seguridad de la infraestructura. La eficacia final de los mecanismos de rescate dependerá de la eficiencia de la gobernanza y del compromiso sostenido de todos los participantes.
Preguntas frecuentes
P: ¿Cómo se produjo el ataque a Kelp DAO?
El atacante explotó una vulnerabilidad de seguridad en el puente cross-chain LayerZero de Kelp DAO, que dependía de un único nodo validador. Falsificando mensajes entrantes, el atacante engañó la lógica del validador, haciendo que el contrato puente en Ethereum liberara erróneamente 116 500 rsETH, valorados en unos 292 millones de dólares.
P: ¿De dónde provienen los fondos para la operación de rescate DeFi United?
A 27 de abril, el plan de rescate había asegurado más de 303 millones de dólares en compromisos de participantes como Consensys, Lido, EtherFi, Mantle, Compound, Renzo, Babylon Foundation, LayerZero (10 000 ETH), Puffer Finance y decenas de otros proyectos e instituciones.
P: ¿Cómo serán compensados los holders de rsETH?
DeFi United irá acuñando ETH comprometido en rsETH por lotes para restaurar su valor colateral. Durante la ejecución por fases, los activos afectados se transferirán a una wallet multisig y luego se intercambiarán por ETH para cubrir los déficits en los mercados de lending. Los fondos restantes se utilizarán para compensar a los holders de rsETH.
P: ¿Qué impacto tiene este incidente en la evolución de la seguridad DeFi?
El ataque demuestra que los riesgos de seguridad en DeFi han superado las vulnerabilidades de los contratos inteligentes, afectando también a la capa de validación off-chain de la infraestructura cross-chain. Esta tendencia implica que la monitorización tradicional on-chain ya no es suficiente, y se requieren sistemas de monitorización de inmutabilidad cross-chain más completos para verificar la autenticidad de los mensajes cross-chain y asegurar que los bloqueos de tokens en la cadena de origen coincidan.
P: ¿Cómo pueden los protocolos DeFi prevenir ataques similares en el futuro?
Existen tres líneas principales: primero, configurar múltiples nodos validadores independientes para los puentes cross-chain, eliminando puntos únicos de fallo; segundo, construir sistemas robustos de monitorización de la integridad de los datos cross-chain; y tercero, promover el intercambio de información sobre riesgos y mecanismos de respuesta coordinada entre protocolos para abordar la rápida propagación del riesgo sistémico.
