En abril de 2026, la industria cripto afrontó un importante evento de riesgo sistémico en DeFi. Una vulnerabilidad de configuración en el puente cross-chain de KelpDAO, relacionada con LayerZero, fue explotada, lo que permitió la emisión no autorizada de rsETH. Este exploit se propagó por todo el ecosistema, generando cerca de 200 millones de dólares en deuda incobrable para el protocolo de Aave y eliminando más de 1 300 millones de dólares en valor total bloqueado (TVL) en DeFi en apenas 72 horas. El incidente no solo puso de manifiesto las exposiciones de riesgo entre puentes cross-chain y protocolos de préstamos, sino que también desencadenó un profundo debate sobre los límites de seguridad de la composabilidad en DeFi.
¿Cómo llevó el ataque a KelpDAO a casi 200 millones de dólares en deuda incobrable para Aave?
El ataque se desarrolló en tres fases. Primero, el atacante aprovechó un fallo de configuración en el puente cross-chain de KelpDAO usando LayerZero, eludiendo los controles de permisos y emitiendo ilegalmente una gran cantidad de rsETH en la cadena de origen. En la segunda fase, el atacante transfirió el rsETH recién emitido a la red principal de Ethereum y lo intercambió rápidamente por otros activos en varios DEX, provocando una breve desvinculación (depeg) de rsETH. En la tercera fase, dado que Aave había integrado rsETH como activo colateral, el atacante utilizó el exceso de rsETH para pedir prestados ETH y USDC, retirando después la liquidez y dejando una deuda incobrable sin respaldo. A fecha del 20 de abril de 2026, las comunicaciones oficiales de Aave estiman la deuda incobrable entre 177 y 200 millones de dólares, dependiendo la cifra final de los procesos de liquidación y recuperación posteriores.
¿Cómo salieron a la luz la vulnerabilidad del puente cross-chain de rsETH y la mala configuración de LayerZero?
La causa raíz del ataque residía en una gestión defectuosa de permisos en el puente cross-chain. El puente de KelpDAO utilizaba el protocolo de mensajería genérica de LayerZero, pero no verificaba estrictamente la dirección del contrato emisor de los mensajes durante la configuración. El atacante falsificó la identidad de un emisor legítimo y envió una instrucción de "mint" a la cadena de destino. Los contratos relayer y endpoint de LayerZero ejecutaron el mensaje con normalidad, ya que su proceso de verificación solo comprobaba la firma del mensaje, no la validez lógica del contenido. Este es un caso clásico de "desajuste entre configuración y lógica de negocio", un patrón observado en varios exploits de puentes cross-chain entre 2025 y 2026. Aunque los derechos de emisión de rsETH debían estar restringidos a contratos específicos, la interfaz de emisión del puente cross-chain quedó expuesta por error a llamadas externas.
¿Por qué Aave no pudo evitar 177 millones de dólares en deuda incobrable?
Como protocolo de préstamos descentralizado, el modelo de riesgo de Aave depende de la fijación de precios de oráculos on-chain y de mecanismos de liquidación. En este caso, la desvinculación de rsETH fue breve y el atacante completó los préstamos antes de que el precio cayera. Para cuando el precio de rsETH empezó a descender, las posiciones del atacante ya estaban en negativo, pero los bots de liquidación de Aave no se activaron a tiempo por dos motivos principales. Primero, el factor de colateralización de rsETH en Aave era relativamente alto, lo que proporcionó un margen que el atacante aprovechó. Segundo, el atacante utilizó múltiples direcciones para distribuir los préstamos, haciendo que cada posición pareciera saludable mientras la exposición total al riesgo era masiva. Además, el oráculo de Aave no reflejó de inmediato el precio real de rsETH en los DEX, ya que su mecanismo de precio promedio ponderado por tiempo (TWAP) presentaba un retraso, lo que provocó que las liquidaciones se ejecutaran demasiado tarde para evitar la retirada de activos.
¿Cómo amplifica la composabilidad de DeFi los riesgos de un solo protocolo?
La composabilidad es una de las principales ventajas de DeFi, pero también acelera la transmisión del riesgo. En el caso de KelpDAO, el riesgo se propagó rápidamente a lo largo de la cadena "puente cross-chain — token de restaking — protocolo de préstamos". La vulnerabilidad del puente permitió la sobreemisión de rsETH, que, al ser usado como colateral en Aave, facilitó un endeudamiento excesivo y, en última instancia, convirtió el valor de un activo falso en retiradas reales de liquidez. Este mecanismo de transmisión es no lineal: un coste de ataque de 5 millones de dólares generó cerca de 200 millones en deuda incobrable y más de 1 300 millones en salidas de TVL. Tras el incidente, los participantes del mercado retiraron rápidamente liquidez de Aave y otros protocolos de préstamos, intensificando aún más la fuga de capitales. A fecha del 20 de abril de 2026, el TVL total de DeFi cayó de unos 115 000 millones de dólares antes del evento a menos de 102 000 millones, una pérdida superior a 13 000 millones.
¿Quién está detrás del éxodo de 1 300 millones de dólares en TVL?
El rápido descenso del TVL refleja tres capas de comportamiento del mercado. La primera capa fue el impacto directo en Aave, donde los usuarios retiraron cerca de 4 500 millones de dólares en liquidez para evitar bloqueos de activos o liquidaciones. La segunda capa incluyó agregadores y protocolos de apalancamiento que interactúan con Aave y que, ante la incertidumbre en el mercado de préstamos subyacente, se vieron obligados a reducir posiciones o pausar servicios, lo que resultó en otros 3 500 millones en salidas pasivas. La tercera capa estuvo impulsada por el pánico del mercado, llevando a los usuarios a retirar activos de protocolos de préstamos y staking no relacionados, lo que supuso aproximadamente 5 000 millones en retiradas adicionales. Cabe destacar que la velocidad de esta fuga de capitales se sitúa entre las más rápidas de la historia de DeFi, con una caída del TVL del 11,3 % en solo 72 horas. ETH y las stablecoins registraron las mayores salidas, disminuyendo en unos 4 800 millones y 5 200 millones de dólares, respectivamente.
¿Puede el seguro DeFi cubrir lagunas en ataques de este tipo?
Los protocolos de seguro DeFi actuales ofrecen una cobertura muy limitada para incidentes como este. Las soluciones de seguro más extendidas, como Umbrella, suelen cubrir únicamente pérdidas directas por vulnerabilidades en smart contracts, no la deuda incobrable indirecta causada por la "transmisión de riesgo entre protocolos". En el ataque a KelpDAO, la deuda incobrable de Aave no se debió a un fallo en sus propios contratos, sino a una entrada anómala desde un protocolo externo. Si el seguro debe cubrir este tipo de "riesgo por entrada externa" sigue siendo una cuestión abierta en el sector. Además, las pérdidas por desvinculación y liquidaciones fallidas suelen quedar excluidas bajo cláusulas de "riesgo de mercado" o "riesgo operativo". A fecha del 20 de abril de 2026, varios proveedores de seguros han declarado que están evaluando reclamaciones relacionadas con este incidente, pero se espera que la mayoría de las pérdidas queden sin cobertura. Esta laguna pone de relieve las limitaciones del seguro DeFi ante riesgos sistémicos.
Resumen
El exploit del puente cross-chain de KelpDAO se sitúa como uno de los incidentes de seguridad DeFi más graves de 2026 hasta la fecha. Con un coste de ataque de unos 5 millones de dólares, desencadenó casi 200 millones en deuda incobrable para Aave y más de 1 300 millones en evaporación de TVL. Entre las lecciones clave se encuentran: la necesidad de que los permisos de los puentes cross-chain estén estrechamente ligados a la lógica de negocio, que los protocolos de préstamos refuercen los parámetros de riesgo para colaterales no convencionales y que los marcos de seguro DeFi amplíen urgentemente su cobertura para la transmisión sistémica de riesgos. Si bien la composabilidad mejora la eficiencia del capital, también exige mecanismos más claros de aislamiento de riesgos entre protocolos. Para el sector, este incidente no es un final, sino un momento clave para elevar los estándares de gestión de riesgos en DeFi.
Preguntas frecuentes
P: ¿Quién asume finalmente los 200 millones de dólares en deuda incobrable del ataque a KelpDAO en Aave?
R: La deuda incobrable se cubre inicialmente con las reservas del protocolo de Aave. Si las reservas no son suficientes, el protocolo compensa el déficit gradualmente mediante los ingresos de futuras liquidaciones y las comisiones acumuladas. Algunas pérdidas pueden acabar siendo asumidas indirectamente por los proveedores de liquidez de Aave, según las decisiones de gobernanza de la comunidad.
P: ¿Afectará este ataque a otros puentes cross-chain que utilizan LayerZero?
R: El propio protocolo LayerZero no presentaba vulnerabilidades; el problema fue la mala configuración de la validación de mensajes por parte de KelpDAO. Sin embargo, otros puentes que empleen controles de permisos igualmente laxos están expuestos a exploits similares. Se recomienda encarecidamente que los equipos de proyectos auditen de inmediato la lógica de validación de mensajes cross-chain.
P: ¿Cómo pueden los inversores evitar riesgos similares de composabilidad en DeFi?
R: Los inversores deben prestar especial atención a las dependencias entre protocolos y evitar concentrar grandes cantidades de activos en estrategias DeFi muy encadenadas. Es preferible priorizar protocolos que hayan superado varias auditorías, que implementen mecanismos de aislamiento de riesgos y cuenten con planes de liquidación maduros. Diversificar los activos entre diferentes arquitecturas de protocolo también es una estrategia eficaz de gestión de riesgos.
