TL;DR

  • KelpDAO fue objeto de un exploit el 18 de abril de 2026, que robó aproximadamente 293,7 millones de dólares en el token de restaking líquido rsETH
  • Los atacantes explotaron una debilidad en la configuración del puente LayerZero y lograron acuñar 116.500 tokens rsETH sin respaldo
  • Al menos nueve protocolos DeFi se vieron afectados, incluidos Aave V3/V4, SparkLend, Fluid y Compound V3
  • El TVL total de DeFi cayó más de 13 mil millones de dólares en dos días, la mayor caída en el sector hasta ahora en 2026

Comenzó con un puente y una configuración errónea

El 18 de abril de 2026, el protocolo de restaking líquido KelpDAO fue golpeado por lo que ahora se describe como el mayor hackeo de criptomonedas de 2026 en valor en dólares. Según la investigación relacionada con el caso, los atacantes lograron robar el equivalente a 293,7 millones de dólares en el token propio del protocolo, rsETH.

El núcleo de la vulnerabilidad residía en cómo KelpDAO había configurado su adaptador de token fungible omnichain de LayerZero. El protocolo utilizaba una arquitectura de Red de Verificadores Descentralizados (DVN) de 1 de 1, es decir, un único verificador sin redundancia. El propio LayerZero recomienda el uso de múltiples DVN para prevenir precisamente este tipo de ataques.

Una única firma falsificada fue suficiente para instruir al contrato de depósito en garantía a liberar tokens rsETH sin respaldo en la red principal de Ethereum.

Los atacantes comprometieron el nodo DVN envenenando la infraestructura RPC subyacente, combinado con ataques DDoS que redirigieron el sistema hacia nodos maliciosos. Así lograron falsificar transacciones entre redes y acuñar 116.500 tokens rsETH sin respaldo. Las billeteras de ataque fueron financiadas a través del mezclador de criptomonedas Tornado Cash para ocultar sus rastros.

LayerZero Labs confirmó a CoinDesk que el ataque está vinculado al Grupo Lazarus, también conocido como TraderTraitor, y precisó que no fue el protocolo en sí el que tenía una debilidad inherente, sino la configuración específica de la aplicación de KelpDAO.

Colapso de DeFi: 13 mil millones de dólares desaparecen en dos días tras el hackeo de KelpDAO

El efecto contagio: De un hackeo a diez protocolos

Lo que comenzó como un exploit aislado, escaló rápidamente a un evento que afectó a todo el sector. Los atacantes utilizaron los tokens rsETH robados como garantía en el protocolo de préstamos Aave V3, prestando más de 236 millones de dólares en Wrapped Ethereum (WETH). Esto creó deuda sin respaldo en el sistema.

La utilización del pool de WETH de Aave alcanzó el 100 por ciento a raíz del incidente. La caída del TVL solo para Aave se estimó en 8,4 mil millones de dólares, según la investigación disponible.

Colapso de DeFi: 13 mil millones de dólares desaparecen en dos días tras el hackeo de KelpDAO

13 mil millones de dólares desaparecieron en 48 horas

$293,7M
Robados en rsETH
$13B+
Caída total del TVL en DeFi
$8,4B
Caída del TVL de Aave solamente

La disminución total del TVL en DeFi en todos los protocolos afectados superó los 13 mil millones de dólares en dos días, según CoinDesk. Curiosamente, los precios de los tokens se mantuvieron relativamente estables; fue la liquidez y el valor depositado lo que se evaporó, no necesariamente el valor de mercado de los tokens subyacentes.

Esto ilustra uno de los riesgos más subestimados en DeFi: el contagio sistémico a través de pools de liquidez compartidos e integraciones entre protocolos. Cuando rsETH sirvió como garantía en una docena de protocolos diferentes, un único activo comprometido se convirtió en un efecto dominó.

LayerZero anuncia medidas

LayerZero Labs ha anunciado, según CoinDesk, que acelerará la migración de todas las configuraciones DVN únicas a una arquitectura multi-DVN. Mientras tanto, los servicios de firma y verificación para aplicaciones con configuraciones 1 de 1 han sido suspendidos.

Más de 15 protocolos DeFi suspendieron el puente LayerZero OFT como respuesta preventiva, incluso sin exposición directa a rsETH.

El fundador de Aave, Stani Kulechov, enfatizó que los protocolos centrales de Aave no fueron explotados directamente, sino que el problema estaba relacionado con rsETH como activo. Esta es una distinción que, sin embargo, ofrece poco consuelo a los usuarios con fondos inmovilizados en mercados congelados.

El incidente vuelve a poner de relieve el riesgo de los puntos únicos de fallo en la infraestructura de puentes, y plantea preguntas sobre los procesos de diligencia debida de los protocolos DeFi para determinar qué activos aceptan como garantía.