Uno de los mayores robos de DeFi del año
En la madrugada del 19 de abril, hora de Noruega, el protocolo de liquid restaking Kelp DAO fue afectado por una de las brechas de seguridad más graves en el sector DeFi en lo que va de 2026. Según la información reportada por DL News y confirmada por la firma de análisis de blockchain Cyvers, aproximadamente 116,500 tokens rsETH —equivalentes a alrededor de 292 millones de dólares— fueron drenados del protocolo.
Los atacantes explotaron una vulnerabilidad en el puente cross-chain de Kelp DAO impulsado por LayerZero. Al manipular la capa de mensajería entre blockchains, lograron engañar a los contratos inteligentes del puente para que liberaran rsETH a una dirección controlada por los atacantes, sin que hubiera un respaldo de seguridad real.
Así funcionó el ataque
Los tokens rsETH recién acuñados y sin respaldo fueron utilizados posteriormente como garantía en importantes plataformas de préstamo, incluyendo Aave V3 y V4, Compound V3 y Euler. Desde allí, los atacantes pidieron prestado Wrapped ETH y ETH reales contra la garantía ficticia, dejando lo que la firma de seguridad Cyvers describe como una "deuda incobrable" significativa en el sistema.
«Este es precisamente el tipo de evento que ilustra el riesgo de la componibilidad en DeFi» — Deddy Lavid, CEO de Cyvers
Los fondos robados, que según Cyvers constituían aproximadamente el 18 por ciento del suministro circulante total de rsETH, fueron rápidamente convertidos a ETH y enviados a través del servicio de mezcla Tornado Cash para dificultar su rastreo. Cyvers informa que alrededor de 250 millones de dólares ya habían sido convertidos a ETH cuando se publicó el informe.
Kelp DAO reaccionó en 46 minutos
Kelp DAO alertó sobre actividad cross-chain sospechosa en redes sociales poco después del ataque e implementó medidas de emergencia. Según la información del propio protocolo, todos los contratos rsETH en Ethereum mainnet y varias redes Layer 2 fueron pausados. Aproximadamente 46 minutos después del primer retiro exitoso, un sistema de emergencia multisig congeló los contratos principales, bloqueando dos intentos posteriores de retirar 40,000 rsETH adicionales.
Kelp DAO informa que está colaborando activamente con LayerZero, Unichain y expertos en seguridad líderes para determinar la causa exacta del ataque. LayerZero ha confirmado su participación y ha anunciado que se publicará un informe conjunto.
Repercusiones en el ecosistema DeFi
El hackeo envió ondas de choque a través del sector DeFi. Aave congeló sus mercados de rsETH tanto en V3 como en V4. Marc Zeller, fundador de Aave Chan Initiative, instó a los usuarios con depósitos de WETH en Aave V3 Core a retirar sus fondos de inmediato.
Aave planea utilizar su sistema "Umbrella backstop" —una red de seguridad que reemplazó al módulo Safety Module anterior a finales de 2025— para cubrir la pérdida. Sin embargo, la cobertura total no está garantizada, y los depositantes de WETH pueden arriesgarse a retiros parciales.
Varios otros protocolos también reaccionaron rápidamente: SparkLend y Fluid congelaron sus mercados de rsETH, mientras que Lido Finance pausó los depósitos en su producto earnETH. El emisor de stablecoins Ethena cerró temporalmente sus puentes LayerZero como medida de precaución. Fluid aseguró que no había una exposición significativa en Layer 2 y que los fondos de los usuarios están seguros.
Aún no hay un plan de compensación claro
Hasta el momento de la publicación, Kelp DAO no ha anunciado un plan concreto para la compensación de usuarios. Las comunicaciones oficiales del protocolo se han centrado exclusivamente en la investigación en curso y las medidas inmediatas de mitigación de riesgos. No está claro qué porcentaje de los fondos perdidos, si los hubiera, podría cubrirse, o en qué plazo se podría esperar una solución.
Riesgo estructural en el liquid restaking
El ataque a Kelp DAO pone de manifiesto un desafío fundamental en el sector del liquid restaking: la alta componibilidad ofrece una gran eficiencia de capital, pero también crea efectos en cascada cuando un eslabón falla. Los tokens LRT como rsETH se utilizan como garantía en múltiples protocolos, y una única vulnerabilidad puede propagarse rápidamente a través de toda la pila DeFi.
El sector ha crecido rápidamente — EigenLayer por sí solo tenía un TVL de más de 18 mil millones de dólares en septiembre de 2025. Esto convierte a los protocolos en objetivos atractivos para atacantes sofisticados.
Kelp DAO ofrece un programa de recompensas por errores (bug bounty) con recompensas de hasta 250,000 dólares, y ha realizado auditorías con reconocidas empresas de seguridad. Sin embargo, el incidente demuestra que incluso los protocolos auditados con mecanismos de parada de emergencia pueden verse afectados cuando la complejidad de la arquitectura cross-chain introduce nuevos vectores de ataque.
Referencias de fuentes: DL News, Cyvers, Aave Chan Initiative (Marc Zeller), comunicaciones oficiales de Kelp DAO. La información sobre el plan de compensación no ha sido confirmada por Kelp DAO hasta la fecha.
