LCP_hide_placeholder
fomox
MercadosPerpetuosSpotIntercambiarMeme Referidos
ai-iconMás
Impulso de Abstract
Buscar token/billetera
/
BLOG
Incidente DeFi 2026: riesgo sistémico po...

Incidente DeFi 2026: riesgo sistémico por vulnerabilidad en Kelp DAO y exposición crediticia de Aave

2026-04-20 15:58

El 18 de abril de 2026, a las 17:35 (UTC), lo que parecía una transacción cross-chain ordinaria desencadenó uno de los incidentes de seguridad más trascendentales en la historia de DeFi. Debido a una vulnerabilidad de configuración en el puente cross-chain rsETH de Kelp DAO, un atacante logró acuñar 116 500 tokens rsETH de la nada, valorados en aproximadamente 293 millones de dólares, cerca del 18 % del suministro total en circulación del token. Este suceso no solo estableció un nuevo récord de pérdidas en DeFi por un solo incidente en 2026, sino que también provocó una crisis sistémica debido a la composabilidad de los protocolos DeFi: el TVL de Aave se evaporó en 8,45 mil millones de dólares en solo dos días, mientras que el TVL total de DeFi en todas las cadenas cayó en 13,21 mil millones.

Sin embargo, el incidente de Kelp DAO estuvo lejos de ser un caso aislado. En los primeros cuatro meses de 2026, el sector DeFi sufrió múltiples brechas de seguridad, con pérdidas acumuladas que alcanzaron varios cientos de millones de dólares. Los vectores de ataque se han vuelto cada vez más complejos, abarcando desde tomas de control de gobernanza y exploits en puentes hasta manipulación de oráculos y reentradas en contratos inteligentes. Las profundas interconexiones entre protocolos ahora amplifican el poder destructivo de cualquier punto único de fallo.

Cronología de la vulnerabilidad del puente de Kelp DAO

El 18 de abril de 2026, a las 17:35 (UTC), un atacante explotó un fallo de configuración en el puente cross-chain LayerZero de Kelp DAO. Falsificando un mensaje cross-chain, acuñó 116 500 rsETH en la red principal de Ethereum, tokens sin respaldo real de colateral. Cuarenta y seis minutos después de iniciado el ataque, Kelp DAO utilizó un multisig de emergencia para pausar las funciones del contrato rsETH en la red principal y en varias cadenas de capa 2. Durante este intervalo, el atacante intentó dos veces más acuñar 40 000 rsETH en cada ocasión, pero ambos intentos fueron revertidos debido al bloqueo del contrato.

En lugar de vender inmediatamente los rsETH robados en mercados secundarios, el atacante depositó la mayor parte en Aave V3 y V4 como colateral para pedir prestados WETH y ETH reales. Los datos on-chain muestran que el atacante obtuvo aproximadamente 106 500 ETH, valorados en torno a 250 millones de dólares, mediante colateralización y ventas posteriores.

Esta maniobra expuso a Aave a un riesgo de deuda incobrable estimado entre 177 y 236 millones de dólares. Como respuesta, Aave congeló urgentemente los mercados de rsETH en la red principal de Ethereum y en L2 como Arbitrum, Optimism y Base, estableciendo el Loan-to-Value de rsETH en cero. Otros protocolos, como Compound y Euler, siguieron pronto pausando o restringiendo operaciones relacionadas con estos activos.

De la vulnerabilidad al contagio: la reacción en cadena

Hora (UTC) Evento Naturaleza
18 abr., 17:35 El atacante llama a la función lzReceive de LayerZero EndpointV2 con datos cross-chain falsificados, desencadenando la acuñación de 116 500 rsETH Ataque
18 abr., 17:35–18:21 El atacante deposita rsETH en Aave V3/V4 como colateral para pedir grandes cantidades de WETH Movimiento de fondos
18 abr., 18:21 El multisig de emergencia de Kelp DAO detecta actividad sospechosa y pausa los contratos rsETH en mainnet y otras cadenas Respuesta de emergencia
18 abr., 18:26, 18:28 El atacante intenta acuñar dos veces 40 000 rsETH más; ambos intentos son revertidos Ataque frustrado
18 abr., 20:10 Kelp DAO publica su primer comunicado oficial en X, confirmando actividad cross-chain sospechosa Comunicado oficial
18 abr. noche–19 Aave congela los mercados de colateral rsETH; Compound y Euler hacen lo propio Respuesta sectorial
19–20 abr. El TVL de Aave cae de 26,396 M$ a 17,947 M$ (pérdida de 8,45 M$); el TVL total de DeFi baja de 99,497 M$ a 86,286 M$ Fuga de capital

La reacción del sector ante la respuesta de Kelp DAO fue dispar. Algunos miembros de la comunidad argumentaron que un tiempo de reacción de 46 minutos era relativamente rápido para un incidente en un puente cross-chain. Otros señalaron que pasaron casi tres horas entre el ataque a las 17:35 y el primer comunicado público a las 20:10, lo que generó un vacío informativo que alimentó el pánico en el mercado. Además, el uso por parte de Kelp DAO de una configuración 1/1 DVN suscitó debate sobre la suficiencia de su proceso de auditoría de seguridad.

Datos y análisis estructural: cuantificando la reacción en cadena

Panorama de la seguridad DeFi en 2026

Frecuencia de ataques y pérdidas

Solo en los primeros 18 días de abril de 2026, los protocolos cripto sufrieron más de 606 millones de dólares en pérdidas acumuladas por hacks, el peor mes desde febrero de 2025. Drift Protocol perdió unos 285 millones por un ataque de gobernanza el 1 de abril, mientras que el incidente de Kelp DAO sumó 293 millones, concentrando la gran mayoría de pérdidas del mes. Esta oleada de ataques de alto valor supone una nueva prueba de estrés para la seguridad DeFi.

Evolución de los patrones de ataque

Investigadores de seguridad han identificado dos grandes tendencias nuevas en los vectores de ataque de 2026: en primer lugar, crece el enfoque en explotar fallos de configuración en puentes cross-chain y protocolos de activos derivados, más allá de simples bugs en contratos inteligentes. En segundo lugar, los atacantes son cada vez más hábiles aprovechando la composabilidad DeFi para amplificar el impacto de vulnerabilidades puntuales, convirtiendo exploits aislados en choques sistémicos. El caso de Kelp DAO, donde el atacante utilizó activos acuñados como colateral para extraer valor real en vez de venderlos directamente, ejemplifica este cambio.

Cuantificando el impacto en Aave

Evolución del TVL y precios de tokens

Según datos de mercado de Gate y monitorización on-chain, a 20 de abril de 2026, Aave experimentó los siguientes impactos:

  • Cambio en TVL: El TVL de Aave se desplomó de unos 26,396 millones antes del ataque el 18 de abril a 17,947 millones dos días después, una caída de 8,45 mil millones.
  • Salidas netas: Las salidas netas de Aave sumaron aproximadamente 6,2 mil millones, una disminución del 23 %.
  • Deuda incobrable: Aave enfrenta ahora entre 177 y 236 millones en deuda incobrable, concentrada principalmente en el par rsETH/WETH en Ethereum mainnet.
  • Tasas de utilización: El mercado de préstamos WETH alcanzó el 100 % de utilización, con los pools de USDT y USDC también totalmente utilizados: más de 5,1 mil millones en stablecoins permanecen bloqueados hasta que llegue nueva liquidez o los prestatarios devuelvan fondos.
  • Retiros de grandes tenedores: Abraxas Capital retiró unos 392 millones, MEXC retiró 431 millones y una ballena vinculada a Nonco retiró cerca de 405,7 millones.

Evaluación sectorial de la seguridad de los contratos core de Aave

Cabe destacar que los contratos inteligentes core de Aave no fueron vulnerados en este incidente. El atacante explotó la vulnerabilidad del puente de Kelp DAO para acuñar "colateral aire", usando luego la composabilidad DeFi para pedir prestados activos reales dentro del sistema de Aave. El fundador de Aave, Stani, declaró en un AMA comunitario que se trató de una "contaminación upstream", no de un bug del protocolo, una visión ampliamente compartida por los investigadores de seguridad.

Dos posibles vías para cubrir la deuda incobrable de Aave

Actualmente existen dos teorías principales sobre cómo podría cubrir Aave la deuda incobrable: en primer lugar, el protocolo podría absorber gradualmente la pérdida mediante sus reservas de tesorería y unos 12 millones mensuales de ingresos. En segundo lugar, si el déficit supera las reservas, Aave podría recurrir a su Safety Module, penalizando tokens AAVE en staking, trasladando así el coste de la vulnerabilidad de Kelp DAO a sus stakers más leales. A 20 de abril, Aave no había anunciado una resolución definitiva.

Análisis del precio de rsETH y su desvinculación

Cambios en la circulación de rsETH

El ataque resultó en la acuñación de 116 500 rsETH, cerca del 18 % del suministro total, sin respaldo real en ETH. Todos los rsETH cross-chain en más de 20 redes enfrentan ahora incertidumbre sobre su colateralización, a la espera de la conciliación de reservas y suministro circulante por parte de Kelp.

Interrogantes sobre el mecanismo de precio de rsETH

Los analistas destacan que, como LRT (Liquid Restaking Token) representativo, el valor de rsETH depende de la integridad de sus reservas en ETH subyacentes. Cualquier brecha entre reservas y suministro circulante socava fundamentalmente su paridad. La configuración 1/1 DVN de Kelp DAO concentró la verificación cross-chain en un solo nodo, sacrificando redundancia por eficiencia y exponiendo una vulnerabilidad sistémica para los LRT en escenarios cross-chain.

La estrategia prudente de SparkLend, validada

Mitigación preventiva de riesgos en Spark Protocol

El responsable de estrategia de Spark Protocol, monetsupply.eth, reveló que Spark eliminó proactivamente activos de bajo uso, incluido rsETH, en enero de 2026, y desde entonces ha endurecido los criterios de colateral y los límites funcionales. Aunque esta medida molestó inicialmente a usuarios de apalancamiento en ETH, resultó ser una decisión de gestión de riesgos sumamente prudente durante la crisis de Kelp DAO.

Comparativa de liquidez

Mientras Aave sufría problemas de liquidez en ETH por su exposición a rsETH, SparkLend mantuvo amplia liquidez de retiro en ETH. Spark también impuso topes más altos a las tasas de préstamo en ETH, cediendo algo de negocio a Aave pero construyendo un balance más saludable.

La importancia del filtrado de colateral

La retirada temprana de rsETH por parte de Spark evidencia una lección clave: en los protocolos de préstamos DeFi, un riguroso filtrado de colateral es más crítico que ampliar tipos de colateral para perseguir TVL. En eventos extremos, la aceptación amplia de colateral puede convertirse en un punto de debilidad sistémica, mientras que la selección prudente de activos es la primera línea de defensa del protocolo.

Potencial cambio en la competencia entre protocolos de préstamos

Este evento podría impulsar un cambio en la forma en que compiten los protocolos de préstamos DeFi. El antiguo modelo de crecimiento basado en "maximizar TVL" probablemente será reevaluado por comunidades e inversores, emergiendo la calidad de activos y la capacidad de aislar riesgos como métricas clave de seguridad. La estrategia de Spark en tiempos de crisis ha recibido la aprobación del mercado y podría inspirar a otros a recalibrar sus políticas de colateral.

Comunidad, equipos de desarrollo e investigadores de seguridad: un diálogo a tres bandas

Sentimiento comunitario: del pánico a la reflexión

Retiros masivos y debate sobre datos

En las horas posteriores al incidente, las discusiones en comunidades chinas e inglesas en X superaron los 100 millones de publicaciones. El sentimiento inicial estuvo dominado por retiros de pánico y preocupación por la seguridad de los activos. El fundador de DeFiLlama, 0xngmi, señaló en X que incluso protocolos en Solana, que no se vieron afectados directamente, sufrieron salidas de capital. Añadió que el TVL de DeFi se redujo en casi 10 mil millones, comentando: "En estos eventos no hay ganadores, el pastel de toda la industria se hace más pequeño y todos pierden".

División comunitaria sobre la gestión de riesgos de Aave

Tras la congelación del mercado rsETH por parte de Aave, la comunidad se dividió en dos bandos. Los partidarios argumentaron que la rápida respuesta de Aave contuvo eficazmente más deuda incobrable, demostrando la resiliencia de los préstamos descentralizados. Los críticos, en cambio, sostuvieron que la evaluación de riesgos previa de Aave sobre rsETH como colateral pudo ser insuficiente, especialmente teniendo en cuenta la decisión de Spark de eliminarlo en enero.

Respuestas de equipos de protocolos y desarrolladores

Comunicados oficiales de los protocolos

  • Kelp DAO: La cuenta oficial en X confirmó "actividad sospechosa en transferencias cross-chain de rsETH" y anunció una investigación completa junto a LayerZero, auditores y expertos en seguridad.
  • LayerZero: El comunicado oficial en X indicó que eran "conscientes del incidente y estaban investigando la causa raíz".
  • Aave: El comunicado oficial señaló que rsETH en la red principal de Ethereum estaba "totalmente respaldado", pero el mercado seguía congelado por precaución y la exposición estaba contenida.

Debate sectorial sobre responsabilidades

Los investigadores de seguridad coinciden en que la raíz del problema fue la configuración 1/1 DVN del puente de Kelp DAO. Sin embargo, existen dos posturas sobre la responsabilidad: algunos sostienen que Kelp DAO, como desarrollador del protocolo, debe asumir la responsabilidad principal; otros señalan que LayerZero, como proveedor de infraestructura cross-chain, también falló al ofrecer directrices de configuración y promover buenas prácticas.

Perspectiva de los investigadores de seguridad

Diagnóstico técnico de la vulnerabilidad

Análisis detallados publicados por varios investigadores en X concluyeron que el ataque se originó en la configuración de la OApp (Omnichain Application) de LayerZero de Kelp DAO: el uso de un modelo 1/1 DVN basado en un único validador permitió al atacante falsificar mensajes de verificación cross-chain. Al crear una carga útil maliciosa, el atacante desencadenó la acuñación de rsETH en la cadena de destino sin respaldo real, creando así casi 300 millones de dólares en activos sintéticos de la nada.

Paralelismos históricos y lecciones

Los investigadores compararon este ataque con el incidente del puente Nomad en 2022: ambos implicaron fallos de configuración en la validación cross-chain, con atacantes explotando debilidades en el proceso de verificación de mensajes. Tras Nomad, la vigilancia sectorial sobre la seguridad de puentes aumentó brevemente, pero los nuevos diseños de puentes y tipos de activos más complejos (como los LRT) han introducido nuevas superficies de ataque. El caso de Kelp DAO demuestra que la seguridad de los puentes cross-chain sigue sin resolverse y se complica aún más a medida que crece la complejidad de los activos.

Análisis del impacto sectorial: del fallo puntual al riesgo sistémico

Choque de confianza en el sector LRT

La lógica del anclaje de valor de los LRT bajo escrutinio

Como activo LRT insignia, la crisis de rsETH expuso riesgos estructurales para los LRT en contextos cross-chain: su anclaje de valor depende de la integridad de las reservas de ETH subyacentes, pero una vulnerabilidad en el puente puede crear tokens "desanclados" sin afectar esas reservas. Esto socava la base de confianza de todo el sector LRT.

Aumento de exigencias sobre transparencia y auditoría de reservas en LRT

Tras el incidente, el sector podría exigir una mayor transparencia de reservas y auditorías para los protocolos LRT. Kelp DAO deberá demostrar la integridad del suministro circulante restante de rsETH tras la conciliación de reservas. Este proceso podría marcar un punto de inflexión en los estándares de seguridad del sector LRT.

Revisión del aislamiento de riesgos en protocolos de préstamos

La arquitectura de mercados aislados de Morpho demuestra su fortaleza

La arquitectura de mercados aislados de Morpho limitó su exposición a rsETH a unos 1 millón de dólares, repartidos en dos mercados independientes, evitando así un impacto sistémico en el protocolo. En contraste, el diseño de pool unificado de Aave permitió que la contaminación de un solo tipo de colateral se propagara rápidamente por todo el protocolo.

La arquitectura importa más que los controles reactivos

El contraste entre Morpho y Aave revela una idea clave: en la seguridad DeFi, el aislamiento arquitectónico del riesgo es más fundamental que los controles reactivos. Aunque los mercados aislados sacrifican algo de eficiencia de capital, proporcionan una protección similar a un cortafuegos ante eventos extremos.

Seguridad de puentes cross-chain: viejo problema, nuevo matiz

Riesgos de seguridad en los parámetros de configuración de LayerZero

La raíz técnica del incidente de Kelp DAO fue la configuración 1/1 DVN del puente, que introdujo un punto único de fallo en la verificación de activos cross-chain. La flexibilidad de configuración de LayerZero implica mayor riesgo si no se gestiona adecuadamente.

Impulso sectorial hacia buenas prácticas en seguridad de puentes cross-chain

Tras el incidente, el sector podría acelerar la estandarización de buenas prácticas en seguridad de puentes cross-chain. Medidas como validación multi-DVN, time locks y límites de transacción podrían convertirse en requisitos mínimos para despliegues de puentes. Curve Finance, por ejemplo, pausó su infraestructura LayerZero para revisión de seguridad tras el incidente, una medida que otros protocolos podrían replicar pronto.

Análisis de escenarios: perspectivas para la seguridad DeFi tras la crisis

Escenario base: recuperación gradual y resiliencia institucional

En este escenario, Aave absorbe gradualmente la deuda incobrable mediante reservas e ingresos, Kelp DAO completa la conciliación de reservas y revela el respaldo real del rsETH restante, y el sector se recupera tras un dolor a corto plazo. Variables clave a observar: si Aave puede cubrir el déficit sin penalizar su Safety Module, si la conciliación de Kelp respalda el valor residual de rsETH y si otros protocolos LRT logran restaurar la confianza mediante mayor transparencia.

Escenario de estrés: caída de ETH provoca liquidaciones secundarias

El responsable de estrategia de Spark, monetsupply.eth, advierte que, con ETH como colateral principal y una utilización del 100 %, las liquidaciones son imposibles. Si el precio de ETH cae un 15–20 % mientras la liquidez de Aave sigue ajustada, podría acumularse rápidamente más deuda incobrable. En ese caso, el Safety Module de stkAAVE podría enfrentar su primer gran evento de penalización, afectando directamente a los holders del token. El riesgo más amplio es un ciclo vicioso de "crisis de liquidez—liquidaciones fallidas—aumento de deuda incobrable", con impacto potencial en todos los protocolos DeFi que dependen de ETH como colateral central.

Escenario de transformación: actualización sistémica de la arquitectura de seguridad DeFi

Este incidente podría catalizar una actualización sistémica de la arquitectura de seguridad DeFi. Entre los posibles desarrollos: estándares sectoriales para la seguridad de puentes cross-chain (validación multi-DVN obligatoria, time locks, límites de transacción), pruebas de reservas rutinarias para protocolos LRT (conciliación diaria o en tiempo real), criterios más estrictos de admisión para activos derivados de alto riesgo en préstamos (adopción del modelo de filtrado de Spark) y mayor adopción de arquitecturas de mercados aislados entre los principales protocolos de préstamos. Lograr esto requerirá nuevos equilibrios entre seguridad y eficiencia, pero el caso de Kelp DAO ha demostrado que sacrificar redundancia por eficiencia tiene un coste mucho mayor de lo que muchos anticipaban.

Conclusión

El exploit de 293 millones de dólares en Kelp DAO fue más que un hackeo de gran escala: supuso una prueba de estrés real para el riesgo sistémico en DeFi. Al explotar un fallo de configuración en un puente, el atacante desencadenó un contagio multinivel desde activos LRT a los principales protocolos de préstamos y al ecosistema DeFi en general, borrando finalmente 8,45 mil millones del TVL de Aave y más de 13,2 mil millones del capital total DeFi en solo dos días.

En esta crisis, los distintos protocolos tuvieron desenlaces muy diferentes: Aave, con su amplia aceptación de colateral, soportó una presión inmensa; Morpho, gracias a su diseño de mercados aislados, contuvo el riesgo a un alcance mínimo; SparkLend, tras eliminar proactivamente rsETH y otros activos de bajo uso, salió indemne. Estos resultados contrastantes apuntan a una lección central: en DeFi, la seguridad no es solo un conjunto de medidas técnicas, sino una cuestión de filosofía arquitectónica.

A 20 de abril de 2026, la conciliación de reservas de Kelp DAO sigue pendiente, la resolución de la deuda incobrable de Aave continúa en discusión y el valor real de rsETH está por reevaluarse. Estos asuntos sin resolver seguirán poniendo a prueba la resiliencia institucional y la gobernanza de DeFi. Lo que sí es seguro es que esta crisis de seguridad de 2026 dejará una huella imborrable en la historia de DeFi, forzando al sector a replantear su modelo de crecimiento "eficiencia primero" y a buscar un nuevo equilibrio entre seguridad y expansión.

The content herein does not constitute any offer, solicitation, or recommendation. You should always seek independent professional advice before making any investment decisions. Please note that Gate may restrict or prohibit the use of all or a portion of the Services from Restricted Locations. For more information, please read the User Agreement

Compartir

Artículos relacionados
Gate DEX BountyDrop: Participa en el Airdrop de AlloX y comparte $10 000 en ALLOX
WEB3
Gate DEX BountyDrop: Participa en el Airdrop de AlloX y comparte $10 000 en ALLOX
Gate DEX BountyDrop es un centro integral que reúne los proyectos de airdrop más populares, ofreciendo a los usuarios una vía rápida para participar en tareas interactivas.
Blog Team2026-04-22 18:45
Opera con ASTEROID Perps en Gate DEX y comparte 20 000 USDT
WEB3
Opera con ASTEROID Perps en Gate DEX y comparte 20 000 USDT
Gate Perp DEX ha lanzado oficialmente el contrato perpetuo ASTEROID/USDT. Participa en el reto de trading y comparte un premio total de 20 000 USDT.
Blog Team2026-04-20 19:27
Gate DEX BountyDrop: Únete al airdrop de ForeGate y comparte 50 000 puntos
WEB3
Gate DEX BountyDrop: Únete al airdrop de ForeGate y comparte 50 000 puntos
Gate DEX BountyDrop es un centro integral que reúne los proyectos de airdrop más populares, ofreciendo a los usuarios una vía rápida para acceder a tareas interactivas.
Blog Team2026-04-20 18:22
Rastreador de billeteras
Monitoreo
Posiciones
Lista de seguimiento
App
Acerca de
Comunidades
Comentarios