En resumen

  • 🔴 Aproximadamente 292 millones de dólares en rsETH fueron robados de Kelp DAO el 18 de abril de 2026
  • 🔴 LayerZero señala una configuración de seguridad débil en Kelp DAO; Kelp DAO señala a LayerZero
  • 🔴 Aave congeló los mercados de rsETH y experimentó miles de millones en salidas tras el ataque
  • 🔴 El sector DeFi ha perdido ya más de mil millones de dólares en exploits en lo que va de 2026

Uno de los mayores robos de DeFi en 2026

La noche del 18 de abril de 2026, el protocolo de restaking líquido Kelp DAO fue víctima de un sofisticado ataque que resultó en el drenaje de 116.500 rsETH —equivalente a un estimado de 292-294 millones de dólares— del sistema. Según la empresa de seguridad Cyvers, los fondos fueron rápidamente convertidos de nuevo a ETH y distribuidos entre la red principal de Ethereum y Arbitrum.

El ataque se encuentra entre los mayores exploits individuales en la historia de DeFi y contribuye a que las pérdidas totales en el sector superen ahora los mil millones de dólares solo en los primeros meses de 2026, según The Block.

Más de mil millones de dólares perdidos en exploits de DeFi en lo que va de 2026
Robo de 292 millones de dólares: Kelp DAO, Aave y LayerZero discuten sobre la culpa

Cómo se llevó a cabo el ataque

Los atacantes comprometieron los nodos RPC (llamada a procedimiento remoto) utilizados por el sistema de verificación de LayerZero. Posteriormente, se distribuyeron binarios maliciosos para manipular los datos de las transacciones, y un ataque DDoS coordinado obligó al sistema a recurrir a la infraestructura comprometida. El resultado fue que el sistema aceptó mensajes falsificados entre cadenas, lo que permitió la acuñación ilimitada y sin respaldo de rsETH.

En su análisis post-mortem, LayerZero, con lo que ellos mismos describen como “seguridad preliminar”, señaló al Grupo Lazarus de Corea del Norte —específicamente al subgrupo TraderTraitor— como responsable del ataque.

$292M
Robados en rsETH
116.500
tokens rsETH drenados
Robo de 292 millones de dólares: Kelp DAO, Aave y LayerZero discuten sobre la culpa

Debate sobre la culpa entre tres actores

LayerZero: Señala la configuración de Kelp DAO

LayerZero afirma que la causa técnica raíz fue que Kelp DAO operaba con una configuración de “verificador 1 de 1” —es decir, que LayerZero Labs era el único responsable de toda la verificación de mensajes hacia y desde el puente rsETH. El protocolo añade que habían recomendado repetidamente a Kelp DAO que implementara una configuración con múltiples verificadores independientes para evitar un único punto de fallo. LayerZero subraya que su código de protocolo y sus claves privadas no fueron comprometidos, y advierte que ya no firmará mensajes para proyectos que utilicen una configuración de un solo verificador.

Kelp DAO: Culpa a la infraestructura de LayerZero

Kelp DAO, por su parte, describe el incidente como una “brecha de infraestructura en LayerZero Labs”, y afirma que detectaron actividad sospechosa entre cadenas e inmediatamente pausaron los contratos de rsETH en la red principal y en varias soluciones de capa 2 mientras colaboraban con expertos en seguridad.

Aave: Congeló el mercado para limitar los daños

Aave, una de las plataformas de préstamos más grandes de DeFi, se vio arrastrada a la crisis debido a su exposición a rsETH. El fundador de Aave, Stani Kulechov, aclaró en X que los contratos propios de Aave no fueron atacados, y que la congelación de los mercados de rsETH fue una medida para apoyar la investigación de Kelp DAO. Sin embargo, el incidente provocó salidas masivas de los protocolos de préstamo en todo el ecosistema DeFi. El desarrollador de DeFiLlama, 0xngmi, señaló esto como un claro ejemplo del riesgo sistémico que surge de las estrechas interconexiones de DeFi.

El TVL cae a su nivel más bajo en un año

El exploit y la subsiguiente crisis de liquidez han tenido consecuencias notables para todo el sector DeFi. El valor total bloqueado (TVL) de Ethereum ha caído casi un 18 por ciento en el último mes, y el TVL combinado del sector se encuentra ahora en su nivel más bajo en un año, según The Block.

La caída generalizada refleja no solo la pérdida de Kelp DAO de forma aislada, sino también la erosión de la confianza y la reacción automática al riesgo que se produce cuando grandes protocolos con exposición entre cadenas se ven afectados.

El mercado de seguros en DeFi: Todavía débil

El incidente vuelve a poner de manifiesto la persistente falta de una cobertura de riesgo adecuada en DeFi. Plataformas como Nexus Mutual han construido una infraestructura de seguros precisamente para este tipo de escenarios, pero el mercado aún cubre una proporción insignificante del mercado total de DeFi. Según los datos disponibles, los seguros descentralizados representaban menos del uno por ciento del TVL total de DeFi tan recientemente como en 2022, y el crecimiento desde entonces no ha seguido el ritmo de la exposición acumulada.

Actualmente no está claro si los usuarios de Kelp DAO recibirán compensación, y la cuestión de la responsabilidad entre Kelp DAO, LayerZero y cualquier esquema de seguro no ha sido aclarada.

¿Qué sigue?

LayerZero ha desmantelado los nodos RPC comprometidos y ha reanudado las operaciones normales de DVN, mientras colabora con las fuerzas del orden para rastrear los fondos. Kelp DAO aún no ha anunciado un plan de compensación concreto. La cuestión de la responsabilidad parece que será un proceso legal y técnico prolongado, y el resultado podría tener implicaciones sobre cómo se asegura la infraestructura entre cadenas y quién asume el riesgo en el futuro.