El Mayor Hack DeFi del Año Afecta a un Protocolo de Ethereum
En la noche del 18 de abril de 2026, Kelp DAO, un protocolo basado en Ethereum para el llamado «liquid restaking», fue objeto de lo que, según Decrypt, se describe ahora como el mayor hack DeFi del año. Se estima que un total de entre 280 y 294 millones de dólares en el token nativo del protocolo, rsETH, fueron sustraídos del sistema, una cifra que varias firmas de análisis sitúan en torno a los 293,7 millones de dólares.
Kelp DAO funciona permitiendo a los usuarios depositar tokens de staking líquido como stETH o cbETH y recibir rsETH a cambio, lo que representa una fracción de los activos subyacentes. Este token de representación fue el centro del ataque.
Una Vulnerabilidad en el Puente LayerZero Abrió la Puerta a los Atacantes
Según análisis técnicos de la comunidad de seguridad, el vector de ataque no residía en los contratos principales de Kelp DAO, sino en el puente entre cadenas del protocolo, construido sobre LayerZero. La configuración utilizaba lo que se describe como una configuración de Red de Verificación Descentralizada (DVN) 1 de 1; en la práctica, esto significa que un único nodo, operado por LayerZero Labs, funcionaba como el único validador.
Esto creó un clásico «punto único de fallo»: un nodo comprometido fue suficiente para falsificar transacciones. Según el material de investigación, los atacantes financiaron carteras a través de Tornado Cash, forjaron una transacción y enviaron un mensaje falso entre cadenas que desencadenó la transferencia de 116.500 rsETH. La empresa de análisis D2 Finance también ha especulado con la posibilidad de que una fuga de clave privada en la cadena de origen haya sido un factor contribuyente.
Efecto Contagio: Aave y Otros Sacudidos
Los tokens rsETH robados fueron depositados rápidamente en protocolos de préstamo como Aave V3, Compound V3 y Euler, donde los atacantes tomaron prestadas grandes cantidades de Wrapped Ether (WETH). Esto creó lo que se describe como un clásico «evento de contagio entre protocolos»: el fallo de un protocolo se extendió inmediatamente a varios otros.
La subsiguiente ola de pánico entre los usuarios comunes de DeFi resultó en intentos de retirar un total de 6.200 millones de dólares solo de Aave, según Decrypt. El fundador de Aave, Stani Kulechov, precisó que los contratos inteligentes de Aave no fueron directamente comprometidos, sino que el problema se debió a la exposición a rsETH.
Aave, SparkLend y Fluid congelaron todos sus mercados relacionados con rsETH para limitar los daños. Kelp DAO, por su parte, ha pausado los contratos de rsETH en la mainnet y varias redes de Capa 2, y ahora colabora con LayerZero, Unichain, sus auditores y comunidades de seguridad para investigar el incidente.
Auditorías Insuficientes: Expertos Advierten
Kelp DAO ha comunicado públicamente que el protocolo ha sido sometido a «múltiples auditorías» y cuenta con un programa activo de recompensas por errores. Sin embargo, estas medidas de seguridad no lograron detectar la vulnerabilidad crítica, precisamente porque residía en un componente de terceros, no en los propios contratos del protocolo.
La comunidad de seguridad es clara en que esto apunta a un problema estructural en la industria DeFi: términos de marketing como «redes de verificadores descentralizadas» pueden ocultar una centralización peligrosa si las configuraciones estándar se enrutan a través de un único nodo operador. Los expertos enfatizan que las futuras auditorías de seguridad deben incluir no solo los contratos inteligentes, sino también el diseño del puente, las integraciones de terceros y la implementación real de las afirmaciones de descentralización.
Para los usuarios de protocolos de liquid restaking, esto significa que las listas de verificación tradicionales – informes de auditoría, programas de recompensas por errores, tamaño de TVL – ya no son suficientes. La infraestructura entre cadenas y las dependencias reales deben ser examinadas con lupa.
La Situación Sigue Bajo Investigación
Al 19 de abril de 2026, la investigación está en curso. Ni Kelp DAO, ni LayerZero Labs, ni los protocolos de préstamo afectados han proporcionado una explicación técnica final confirmada de la causa. Por el momento, no está claro si alguno de los fondos robados puede ser rastreado o recuperado. 24Krypto sigue el caso.
