#rsETHAttackUpdate

Actualización del ataque rsETH — La historia completa que DeFi necesitaba escuchar

Han pasado seis días desde que uno de los exploits más significativos en la historia de las finanzas descentralizadas se desarrolló en tiempo real. Si estabas observando tus posiciones en Aave, tu colateral rsETH, o tu portafolio DeFi volverse un caos durante el fin de semana del 18 de abril, no estabas imaginando cosas. Algo realmente serio ocurrió — y las secuelas todavía se están desarrollando activamente hasta hoy, 24 de abril de 2026. Quiero recorrer toda la secuencia de eventos, desde la brecha inicial hasta el esfuerzo de recuperación coordinado que ahora está en marcha, porque esta historia merece un desglose claro y honesto sin el ruido.

Qué ocurrió realmente el 18 de abril

El 18 de abril de 2026 a las 17:35 UTC, en el bloque de Ethereum 24,908,285, un atacante explotó la ruta rsETH de LayerZero V2 Unichain de Kelp hacia Ethereum.

Para entender por qué esto fue posible, necesitas comprender un detalle crítico sobre cómo se configuró ese puente.

Kelp DAO configuró su integración con el modelo de seguridad más débil posible — una configuración de Red de Verificadores Descentralizados 1-de-1. Esto otorgó a un solo nodo validador, operado por LayerZero Labs, plena autoridad para aprobar mensajes entre cadenas.

En términos prácticos, esto significaba que si alguien podía comprometer o falsificar ese único validador, todo el puente estaba comprometido. No había redundancia. No había una segunda verificación. Un punto de fallo, protegiendo cientos de millones de dólares en activos.

El atacante manipuló la infraestructura de mensajería entre cadenas de LayerZero para tratar una instrucción fraudulenta como legítima, haciendo que el puente de Kelp liberara los tokens robados a una cartera controlada por el atacante. La brecha ocurrió a las 17:35 UTC, mientras que el multisig de emergencia de Kelp solo logró congelar los contratos principales 46 minutos después. Esa ventana de 46 minutos fue todo lo que el atacante necesitó.

Aproximadamente 116,500 tokens rsETH fueron desbloqueados a través del lado de Ethereum del puente sin activar un evento de quema en la red de origen. Esto es lo que hizo que el ataque fuera tan dañino — los tokens que se liberaron en el lado de Ethereum no tenían respaldo legítimo en ningún lugar. Eran, en efecto, falsificados.

Cómo el atacante convirtió tokens falsos en dinero real

Esta es la parte que revela cuán sofisticado fue este ataque. Simplemente acuñar tokens no respaldados es una cosa. Convertirlos en valor real antes de que alguien se dé cuenta es otro nivel completamente.

Un atacante no identificado manipuló el sistema de mensajería entre cadenas, acuñando con éxito 116,500 tokens rsETH no respaldados. Casi 90,000 de estos tokens fueron luego utilizados como colateral en la plataforma Aave, permitiendo al atacante tomar prestado aproximadamente 190 millones de dólares en Ethereum y otros activos.

El botín total ascendió a aproximadamente 292 millones de dólares, reclamando aproximadamente el 18 por ciento de la oferta circulante total de rsETH, convirtiéndolo en el mayor exploit de finanzas descentralizadas registrado en 2026.

Los fondos restantes robados fueron bridged y cambiados a bitcoin a través de Thorchain, haciendo que la recuperación fuera significativamente más compleja.

La contagiosa que siguió

El impacto inmediato del exploit no se limitó a KelpDAO ni siquiera a Aave. La naturaleza interconectada de los protocolos DeFi significó que la onda de choque se extendió casi instantáneamente por todo el ecosistema.

Aave congeló los mercados de préstamo de rsETH en V3 y V4, haciendo que el token de AAVE cayera aproximadamente un 10 por ciento. SparkLend y Fluid siguieron con congelamientos similares. Lido Finance pausó los depósitos en su producto earnETH expuesto a rsETH mientras confirmaba que stETH y wstETH permanecían sin afectar.

La respuesta de los usuarios fue inmediata y severa. Aave perdió 8.45 mil millones de dólares en depósitos en las 48 horas posteriores al ataque, impulsando una caída más amplia de 13.21 mil millones de dólares en el valor total bloqueado en plataformas DeFi.

El atacante intercambió los rsETH no respaldados por WETH y stablecoins en Aave explotando la vulnerabilidad en la infraestructura de KelpDAO. El contrato aETHrsETH de Aave contenía aproximadamente el 83 por ciento del rsETH en circulación, concentrando la exposición de manera masiva en el protocolo de préstamo.

La magnitud del daño específicamente a Aave

Un análisis del evento estimó que Aave enfrentó entre 124 millones y 230 millones de dólares en posible deuda incobrable vinculada a los tokens drenados, y el valor total bloqueado en Aave cayó un 33 por ciento en 72 horas.

El agujero total se estima en más de 112,000 rsETH. Ese número es el problema central que la iniciativa DeFi United está ahora trabajando para abordar.

A partir de las 18:52 UTC del 18 de abril, el Guardian de Aave inició congelamientos inmediatos en los mercados de rsETH y wrsETH en todas las implementaciones donde el activo está listado.

La respuesta de DeFi United

Lo que ha ocurrido en los días posteriores al ataque es una de las respuestas coordinadas más significativas que el ecosistema DeFi ha intentado alguna vez.

Aave lanzó la iniciativa DeFi United con varias firmas cripto para abordar la pérdida de 292 millones de dólares causada por la explotación de KelpDAO y estabilizar el respaldo de rsETH. Participantes importantes como EtherFi, Golem Foundation y Mantle están contribuyendo con fondos y apoyo.

Lido Finance fue el primer participante público, proponiendo hasta 2,500 ETH apostados. EtherFi propuso 5,000 ETH, mientras que el fundador de Aave, Stani Kulechov, también prometió 5,000 ETH en forma personal.

Golem Foundation contribuyó con 1,000 ETH, y otros múltiples contribuyentes se unieron al esfuerzo de recuperación.

El consejo de seguridad de Arbitrum congeló 30,766 ETH vinculados al exploit, marcando un paso importante en la recuperación temprana.

Lo que esto revela sobre las vulnerabilidades estructurales de DeFi

El exploit de rsETH no fue una vulnerabilidad en un contrato inteligente. Fue una falla en la configuración del puente.

La configuración de DVN 1-de-1 creó un punto único de fallo que aseguraba cientos de millones en activos. Este es el problema central que la industria ahora debe confrontar.

Los puentes entre cadenas siguen siendo una de las superficies de ataque más explotadas en DeFi.

Dónde están las cosas en este momento

Al 24 de abril de 2026, los mercados de rsETH permanecen en pausa. Los esfuerzos de recuperación continúan bajo DeFi United, pero la brecha de fondos aún supera las 100,000 ETH.

Una parte de los fondos fue congelada, pero la mayoría de los activos transferidos a través de Thorchain hacia Bitcoin aún no se han recuperado.

No existe un cronograma confirmado para reabrir los mercados de rsETH.

Qué significa esto para el futuro de DeFi

Este fue un golpe serio a la confianza en DeFi. Un exploit de 292 millones de dólares y una salida masiva de liquidez no son un evento menor.

Sin embargo, la respuesta coordinada muestra una madurez creciente en el ecosistema. La participación de múltiples protocolos para cubrir las pérdidas señala un cambio hacia la responsabilidad colectiva.

Las lecciones de este ataque moldearán la seguridad de los puentes y la gestión de riesgos en DeFi en el futuro.

Mantente informado y sigue de cerca las actualizaciones oficiales.