LCP_hide_placeholder
fomox
MercadosPerpetuosSpotIntercambiarMeme Referidos
ai-iconMás
Buscar token/billetera
/
BLOG
Del el ataque a KelpDAO al riesgo de deu...

Del el ataque a KelpDAO al riesgo de deuda incobrable en Aave: análisis de la crisis de colateral de rsETH y los mecanismos de cobertura de reservas

2026-04-22 14:35
AAVE0.62%

El 18 de abril de 2026, un ataque que no afectó ningún código de contrato inteligente provocó la mayor deuda incobrable en la historia de Aave, un protocolo líder de préstamos que hasta entonces no había sufrido incidentes de seguridad. El atacante creó 116 500 rsETH de la nada mediante el puente cross-chain de KelpDAO, depositó estos tokens sin respaldo en Aave como garantía, pidió prestada una gran cantidad de WETH y luego desapareció. Según los datos de mercado de Gate, a 22 de abril de 2026, el token AAVE cotizaba a $92,51, con una caída del 7,72 % en los últimos 7 días, mientras el sentimiento de mercado permanecía neutral. Sin embargo, las preocupaciones del mercado van mucho más allá del precio del token: ¿podrán las reservas de seguridad Umbrella de Aave cubrir esta deuda incobrable, que podría alcanzar los $230,1 millones? ¿Desencadenará esta crisis un contagio sistémico más amplio en DeFi?

Un ataque de precisión en 46 minutos

A las 17:35 (UTC) del 18 de abril de 2026, el puente cross-chain de rsETH construido por KelpDAO sobre la tecnología LayerZero fue atacado. En solo 46 minutos, el atacante liberó 116 500 rsETH desde la red principal de Ethereum, valorados en aproximadamente $292 millones en ese momento—casi el 18 % del suministro total en circulación de rsETH. El grupo de emergencia multisig de KelpDAO reaccionó unos 46 minutos después congelando los componentes clave del protocolo, incluidos el pool de liquidez LRT, los contratos de retiro, el oráculo y el token rsETH, bloqueando exitosamente dos intentos posteriores de retiro por un total de 40 000 rsETH (unos $100 millones). Sin embargo, para entonces, los 116 500 rsETH ya habían sido transferidos por el atacante a ocho direcciones predefinidas de cash-out e inyectados rápidamente en los mercados V3 y V4 de Aave.

Este ataque convirtió el incidente de KelpDAO en el mayor exploit a un protocolo DeFi de 2026 hasta la fecha.

Cronología de los hechos

Hora (2026) Evento clave
18 de abril, 17:35 (UTC) El atacante envía un mensaje cross-chain falsificado al contrato puente de KelpDAO, liberando ilegalmente 116 500 rsETH
Dentro de los 46 minutos posteriores al ataque El multisig de emergencia de KelpDAO congela componentes centrales del protocolo, intercepta nuevos intentos de retiro
Dentro de los 6 minutos posteriores al ataque El atacante deposita rsETH en Aave V3/V4 a través de 8 direcciones predefinidas, pide prestado WETH
Madrugada del 19 de abril Los Guardianes de Aave congelan todas las reservas de rsETH/wrsETH en 11 mercados, fijan el LTV en cero
19 de abril Según DefiLlama, el TVL de Aave cae de $26,3 mil millones a ~$18 mil millones, perdiendo $8,3 mil millones en dos días
20 de abril LayerZero publica un informe preliminar y atribuye el ataque al grupo Lazarus de Corea del Norte (TraderTraitor)
21 de abril El Security Council de Arbitrum congela 30 766 ETH (~$71 millones) implicados en el ataque
  • Pérdidas: 116 500 rsETH, unos $292 millones
  • Mercados de Aave afectados: 11, incluidos Ethereum Core, Arbitrum, Mantle, Base, Linea y otros
  • Salida de TVL en Aave: ~$8,3 mil millones en dos días
  • TVL evaporado en DeFi a nivel sectorial: ~$10 mil millones

Análisis técnico en profundidad

Este ataque no fue un exploit tradicional de contrato inteligente, sino un evento complejo que combinó un "fallo de configuración en el puente" con un "ataque de infraestructura a nivel estatal". El ataque se desarrolló así:

Paso 1: Obtención de la lista de nodos RPC. El atacante consiguió la lista de nodos RPC utilizados por la red de validadores descentralizados (DVN) de LayerZero Labs.

Paso 2: Envenenamiento de nodos RPC. El atacante comprometió dos de estos nodos RPC, reemplazando sus binarios op-geth por versiones maliciosas. Estos nodos servían datos falsos específicamente a las IPs de DVN, mientras aparentaban ser "honestos" ante otros observadores.

Paso 3: DDoS provoca failover. El atacante lanzó un ataque de denegación de servicio distribuido sobre los nodos RPC restantes no comprometidos, obligando a DVN a enrutar todo el tráfico a los nodos envenenados.

Paso 4: Envío de mensaje cross-chain falsificado. El atacante envió un mensaje cross-chain falso, supuestamente desde el despliegue Unichain de KelpDAO. DVN validó el mensaje basándose en un estado on-chain falsificado por los nodos envenenados. Tras alcanzar el quórum multisig de 2/3, el mensaje falsificado fue autenticado como legítimo.

Paso 5: Liberación de rsETH en la red principal de Ethereum. El atacante invocó las funciones commitVerification() y lzReceive(), haciendo que el adaptador OFT de rsETH en Ethereum mintara y liberara 116 500 rsETH a la dirección del atacante.

Paso 6: Cash-out. El atacante distribuyó rsETH a ocho direcciones predefinidas, cada una de las cuales, en unos seis minutos, depositó rsETH en Aave como garantía, pidió prestado WETH y movió los activos fuera.

Los datos on-chain prueban el ataque: el outboundNonce de Unichain permaneció en 307, y el nonce 308 reclamado por el atacante nunca existió. No se emitió ningún evento PacketSent para el nonce 308 y el suministro total de rsETH en Unichain era solo 49,26—lo que hacía matemáticamente imposible una quema cross-chain de 116 500.

Cuantificando la exposición al riesgo de Aave

Según el informe de incidentes publicado el 21 de abril por LlamaRisk, proveedor de servicios de riesgo de Aave, el atacante depositó 89 567 rsETH robados como garantía en varios mercados V3 de Aave, pidiendo prestados unos 82 650 WETH (~$191 millones) y 821 wstETH. Dado que estos rsETH fueron creados de la nada y no tenían activos subyacentes reales, su valor como garantía en el sistema de Aave era efectivamente cero, resultando en deuda incobrable.

Aave enfrenta dos escenarios posibles de deuda incobrable, cuya resolución final dependerá de la decisión de asignación de pérdidas por parte de KelpDAO:

Dimensión Escenario 1: reparto global de pérdidas Escenario 2: pérdidas limitadas a redes L2
Monto de deuda incobrable ~$123,7 millones ~$230,1 millones
Mercados principales afectados Ethereum Core Mantle, Arbitrum
Datos clave de riesgo Reservas de WETH suficientemente profundas Mantle déficit del 71,45 %, Arbitrum déficit del 26,67 %
Riesgo de depeg de rsETH ~15 % Mayor
Cobertura Umbrella potencial Parcial Difícil de cubrir

Fuente: informe de incidentes de LlamaRisk

Evaluación de la cobertura de reservas

A la fecha de publicación del informe, los fondos relevantes de Aave eran los siguientes:

  • Tesorería de Aave DAO: posee unos $181 millones en activos
  • Reserva de seguridad Umbrella: aproximadamente $80–100 millones
  • OG Safety Module: aún mantiene unos $300 millones en tokens AAVE; un recorte del 20 % podría aportar unos $60 millones adicionales para cubrir pérdidas

Déficit proyectado de reservas:

En el peor escenario (deuda incobrable de $230,1 millones), incluso tras desplegar la reserva Umbrella (unos $55 millones), la Tesorería de Aave (unos $85 millones) y el recorte del OG Safety Module (unos $60 millones), aún quedaría una brecha de unos $76 millones, que habría que cubrir mediante préstamos o venta de tokens AAVE.

Opiniones divergentes en la industria

Este incidente provocó interpretaciones y atribuciones muy distintas en el sector, con el debate centrado en tres áreas principales:

Disputas sobre la responsabilidad

LayerZero señaló las decisiones arquitectónicas de KelpDAO, destacando que KelpDAO utilizó una "configuración 1/1 DVN"—es decir, un solo validador podía aprobar mensajes cross-chain—cuando la práctica recomendada es usar múltiples DVN. LayerZero afirmó haber aconsejado repetidamente a KelpDAO migrar a una configuración multi-DVN, que no fue adoptada, y anunció que dejaría de firmar mensajes para cualquier aplicación que use configuración 1/1 DVN.

KelpDAO respondió que operaba sobre la infraestructura de LayerZero desde enero de 2024 y mantenía comunicación abierta con el equipo de LayerZero. KelpDAO indicó que el tema de la configuración DVN se discutió durante la expansión a redes L2, con la configuración por defecto explícitamente confirmada como adecuada, sugiriendo que la documentación y orientación de LayerZero también tienen responsabilidad.

Observadores de la industria subrayaron que el atacante mostró capacidad para "encadenar debilidades en infraestructura, aplicaciones y relaciones de confianza". No fue un ataque oportunista aislado, sino una infiltración sofisticada dirigida a sistemas complejos.

Evaluando la respuesta de Aave

Partidarios elogiaron la rápida reacción de Aave—congelando los 11 mercados de rsETH/wrsETH en pocas horas, fijando el LTV en cero, bajando los tipos de WETH multichain y deteniendo los préstamos. El fundador de Aave, Stani, afirmó en un AMA comunitario que los contratos centrales del protocolo permanecieron seguros y que los ingresos mensuales de unos $12 millones eran suficientes para cubrir posibles pérdidas.

Críticos se centraron en la posibilidad de que, si los tokens AAVE apostados en el módulo de seguridad se usan finalmente para cubrir el déficit de deuda incobrable, el coste de la vulnerabilidad de KelpDAO recaería sobre los stakers de Aave. También señalaron que el mecanismo Umbrella, lanzado hace menos de dos meses, ya enfrentaba una prueba de estrés extrema, con su eficacia aún por demostrar.

Reflexiones sobre el futuro de DeFi

El fundador de DefiLlama, 0xngmi, comentó que incluso protocolos no afectados directamente sufrieron retiradas masivas: Aave registró salidas netas de $6,2 mil millones (-23 %) y casi $10 mil millones de TVL evaporados en DeFi a nivel sectorial. Declaró tajantemente: "No hay ganadores en estos incidentes—solo una ‘tarta’ cada vez más pequeña para toda la industria".

Por el contrario, algunos opinan que, aunque la "lista de hackers 2026" ha profundizado el pesimismo sectorial, la economía on-chain sigue expandiéndose—las capitalizaciones de mercado combinadas de USDT y USDC suman unos $263 mil millones, los bonos del Tesoro de EE. UU. tokenizados superan los $10,9 mil millones y el capital rota hacia productos más simples y con mayor transparencia de garantías.

Examinando los impactos estructurales en la industria

Cambio de paradigma en la seguridad DeFi

El incidente de KelpDAO expuso un punto ciego estructural en la seguridad DeFi: las auditorías actuales se centran principalmente en el código de contratos inteligentes, pero los atacantes pueden eludir el código y atacar la infraestructura subyacente. En este caso, el atacante explotó el envenenamiento de RPC y ataques DDoS para socavar la fiabilidad de la validación cross-chain, sin explotar ninguna vulnerabilidad de contrato. Esto marca una expansión del área de amenazas de DeFi, pasando de la "corrección de código" a la "fiabilidad de la validación" y la "integridad de la infraestructura".

Firmas de investigación en seguridad señalaron que, junto al exploit de $285 millones al protocolo Drift a principios de abril (que implicó abuso de privilegios y fallos de pre-firmado), este ataque apunta a una tendencia: los permisos de gobernanza, procesos de firma, mecanismos de puentes, oráculos y configuraciones de parámetros son tan importantes, o más, que el propio código de contrato inteligente.

Impacto en el mercado de tokens de restake líquido

Como uno de los mayores tokens de restake líquido (LRT) del ecosistema EigenLayer, la crisis de confianza de rsETH se está extendiendo inevitablemente a todo el sector LRT. Antes del incidente, el valor total bloqueado de rsETH superaba los $1,5 mil millones. Tras el ataque, todos los mercados relacionados con rsETH fueron congelados. Más importante aún, el incidente confirmó un riesgo central de los LRT cross-chain: cuando los LRT dependen de puentes cross-chain para circular entre varias cadenas, una vulnerabilidad en el puente de cualquier cadena puede poner en riesgo a los holders de tokens en todas las cadenas.

Prueba de crédito a largo plazo para Aave

Aunque los contratos centrales de Aave no fueron vulnerados, el desafío de la "verificación de autenticidad de garantías" seguirá preocupando a la gobernanza de Aave. Algunos sostienen que la necesidad más urgente es establecer un mecanismo de verificación del origen de las garantías, exigiendo a activos cross-chain como rsETH que aporten pruebas Merkle en tiempo real de las garantías subyacentes, de modo que los oráculos validen no solo el precio, sino también la "autenticidad del activo". Si Aave introduce una verificación más estricta de garantías en V4 será seguido de cerca por la industria.

Aceleración de la migración de capital

La salida de fondos provocada por el incidente no fue uniforme. Los datos muestran que, aunque el TVL de los protocolos DeFi cayó, las capitalizaciones de mercado de stablecoins y bonos del Tesoro tokenizados siguieron creciendo—la capitalización de USDT alcanzó $185 mil millones, la de USDC $78 mil millones y los bonos del Tesoro tokenizados superaron los $10,9 mil millones. Esta divergencia indica que el capital está saliendo de productos DeFi nativos complejos y entrando en productos más simples y transparentes. El documento de estrategia de stablecoins de Visa para 2026 también señala que el suministro de stablecoins creció más del 50 % en 2025, y que 2026 se considera un punto de inflexión para la adopción institucional.

Conclusión

El exploit de KelpDAO ha revelado un problema estructural largamente ignorado en DeFi: la seguridad del código de contrato inteligente no equivale a la seguridad del sistema. Cuando los atacantes pueden robar $292 millones sin tocar una sola línea de código de contrato—simplemente socavando la fiabilidad de la infraestructura—todo el paradigma de seguridad del sector debe adaptarse. Para Aave, la resolución final de la deuda incobrable dependerá de la coordinación entre varias partes y de las decisiones de asignación de pérdidas de KelpDAO. Más importante aún, este incidente catalizará la evolución de los estándares de seguridad en DeFi: la validación cross-chain redundante, la prueba de autenticidad de garantías y la separación de riesgos entre protocolos ya no son "opciones interesantes", sino "esenciales para la supervivencia". Como dijo el fundador de DefiLlama, no hay ganadores en incidentes como este, pero al menos la industria puede salir más resiliente tras estos dolores de crecimiento.

The content herein does not constitute any offer, solicitation, or recommendation. You should always seek independent professional advice before making any investment decisions. Please note that Gate may restrict or prohibit the use of all or a portion of the Services from Restricted Locations. For more information, please read the User Agreement

Compartir

Artículos relacionados
Gate DEX BountyDrop: Participa en el Airdrop de AlloX y comparte $10 000 en ALLOX
WEB3
Gate DEX BountyDrop: Participa en el Airdrop de AlloX y comparte $10 000 en ALLOX
Gate DEX BountyDrop es un centro integral que reúne los proyectos de airdrop más populares, ofreciendo a los usuarios una vía rápida para participar en tareas interactivas.
Blog Team2026-04-22 18:45
Especial de trading de SOL el fin de semana: opera y comparte un premio de 10 000 USDT
WEB3
Especial de trading de SOL el fin de semana: opera y comparte un premio de 10 000 USDT
Gate DEX Futures lanza ahora la Promoción Especial de Trading con SOL.
Blog Team2026-04-24 14:09
Bitcoin repunta tras la prórroga del alto el fuego entre EE. UU. e Irán: análisis de su estatus como activo refugio y lógica de precios
WEB3
Bitcoin repunta tras la prórroga del alto el fuego entre EE. UU. e Irán: análisis de su estatus como activo refugio y lógica de precios
Este artículo analiza la lógica de precios de BTC en el contexto de conflictos geopolíticos desde diferentes perspectivas, como la comparación con el oro, los puntos de vista institucionales y las condiciones macroeconómicas. Además, examina el debate actual en torno a las cualidades de refugio seguro de los criptoactivos.
Blog Team2026-04-23 14:27
Rastreador de billeteras
Monitoreo
Posiciones
Lista de seguimiento
App
Acerca de
Comunidades
Comentarios
Del el ataque a KelpDAO al riesgo de deuda incobrable en Aave: análisis de la crisis de colateral de rsETH y los mecanismos de cobertura de reservas