#rsETHAttackUpdate
Seis días después del mayor hackeo DeFi de 2026, la crisis de rsETH ha entrado en su fase de recuperación más crítica. El ataque está contenido. La hemorragia se ha detenido. Pero la resolución completa que abarca la distribución de deuda incobrable, la restauración del peg de rsETH y la recuperación de fondos en múltiples cadenas todavía se desarrolla activamente esta mañana. Aquí está todo lo confirmado hoy.
Resumen del ataque Qué ocurrió el 18 de abril
El 18 de abril de 2026 a las 17:35 UTC, un atacante explotó el puente LayerZero V2 de KelpDAO entre Unichain y la red principal de Ethereum. El puente fue configurado con un DVN catastróficamente débil de 1-de-1, lo que significa que un solo nodo validador operado por LayerZero Labs tenía plena autoridad para aprobar mensajes entre cadenas sin verificación independiente. El atacante envenenó la infraestructura RPC utilizada por el DVN de LayerZero, DDoSeando nodos legítimos para forzar la conmutación a nodos comprometidos, luego falsificó un mensaje válido entre cadenas que engañó al puente para acuñar 116,500 tokens rsETH no respaldados directamente a direcciones controladas por el atacante. Esos tokens fueron depositados inmediatamente en Aave V3 como colateral, permitiendo al atacante tomar prestadas grandes cantidades de WETH reales contra un respaldo completamente ficticio. Daño total: 292 millones de USDT, el mayor exploit DeFi de 2026.
Progreso de recuperación Qué se ha confirmado hoy
La recuperación avanza pero aún está incompleta. El Consejo de Seguridad de Arbitrum ha recuperado aproximadamente 70 millones de USDT en ETH vinculados al ataque, un aumento respecto a los 30,766 ETH reportados a principios de esta semana. Esos fondos permanecen en una billetera intermediaria a la espera de una decisión de gobernanza sobre la metodología de distribución. Sin embargo, una gran parte de los activos robados ya ha sido movida a través de THORChain, lo que complica significativamente la recuperación total. La multisig de KelpDAO congeló los contratos principales poco después de identificar el exploit, lo que bloqueó con éxito un segundo intento de robo por aproximadamente 95 millones de USDT, confirmando que los mecanismos de respuesta de emergencia se activaron correctamente tras la brecha inicial. La tasa de recuperación total sigue siendo mucho menor al 50% de los fondos robados hasta el 24 de abril.
Coalición de la Industria DeFi United se forma
El desarrollo más importante de hoy es la expansión formal de la iniciativa de recuperación DeFi United, un esfuerzo coordinado de rescate a nivel de la industria liderado por Aave para estabilizar el respaldo de rsETH y eliminar la deuda incobrable en las plataformas de préstamo afectadas. Las contribuciones confirmadas hasta el 24 de abril incluyen a Stani Kulechov, fundador de Aave, comprometiendo personalmente 5,000 ETH de su propio capital, diciendo: "Aave es el trabajo de mi vida y estamos trabajando sin parar para encontrar el mejor resultado posible para los usuarios." La gobernanza de EtherFi recibió una aprobación abrumadora de 1,800 titulares de tokens, autorizando una contribución de hasta 5,000 ETH de su tesorería DAO. Lido Finance ha comprometido hasta 2,500 stETH exclusivamente para abordar la brecha de respaldo de rsETH. La Fundación Golem y Golem Factory aportaron en conjunto 1,000 ETH de sus tesorerías. LayerZero también propuso una contribución para restaurar el respaldo de rsETH, afirmando que ha estado coordinando estrechamente con Aave, EtherFi, Ethena, Arbitrum y Kelp durante todo el proceso. Tydro, Ink Foundation y Mantle se unieron a la coalición, con Mantle proponiendo un gran préstamo estructurado para apoyar la posición de liquidez de Aave. En una semana, se espera publicar una hoja de ruta integral que detalle todas las entidades involucradas y las metodologías de distribución de fondos.
Estado de reserva de respuesta oficial de Aave
El Guardian de Aave inició congelaciones de emergencia en los mercados de rsETH y wrsETH en todas las implementaciones en 77 minutos desde el exploit inicial, a las 18:52 UTC del 18 de abril. Hasta el 24 de abril, las reservas de rsETH permanecen en pausa en Ethereum Core, Arbitrum, Base, Mantle y Linea, con Aave afirmando explícitamente que la pausa extendida está diseñada para facilitar la máxima recuperación de fondos a medida que avanzan los planes de resolución. La gobernanza de Aave ha desactivado los mercados de rsETH en las implementaciones V3 y V4. Todos los demás pools de Aave permanecen completamente seguros y operativos; el incidente se limita exclusivamente a rsETH y no refleja ninguna vulnerabilidad en el protocolo Aave en sí.
Contagio más amplio en DeFi La imagen completa del daño
El contagio se extendió mucho más allá de KelpDAO. Aave registró 6,200 millones de USDT en salidas netas, una reducción del 23%. Morpho perdió 716 millones de USDT, un 9% menos. Sky protocol perdió 272 millones de USDT, un 4% menos. JupLend perdió 76 millones de USDT, un 8% menos. El TVL total de DeFi cayó aproximadamente 10 mil millones de USDT inmediatamente después del ataque, con JPMorgan estimando un impacto más amplio en el ecosistema de 20 mil millones de USDT. Lido suspendió su producto EarnETH, que tenía aproximadamente un 9% de su TVL expuesto directamente a rsETH de KelpDAO, y desplegó un buffer de liquidez de 3 millones de USDT mientras procesaba retiros por solicitudes previas al incidente a valoraciones pre-ataque. DVV, GGV y EarnUSD de Lido confirmaron tener cero exposición directa a rsETH y continuaron operando normalmente. SparkLend y Fluid implementaron pausas de emergencia en la exposición a rsETH. Las tasas de interés impulsadas por la utilización se dispararon en varias plataformas de préstamo, forzando la reducción de apalancamiento de los prestatarios y ajustes en las carteras en todo el ecosistema.
Estado actual de fondos de usuarios por tipo de posición
La seguridad de los fondos de los usuarios depende completamente del producto y la cadena en la que tenían exposición.
Los titulares de rsETH en Ethereum mainnet respaldados por depósitos legítimos de EigenLayer mantienen su respaldo subyacente. Las delegaciones de EigenLayer fueron confirmadas completamente intactas y nunca fueron comprometidas. Los usuarios de Aave con posiciones no rsETH en todos los pools están completamente seguros y sin afectaciones. Los usuarios que poseen rsETH envuelto en redes Layer 2 enfrentan una incertidumbre genuina: el respaldo del puente para esos tokens está roto, y la distribución de pérdidas entre cadenas aún no ha sido determinada formalmente. Los usuarios que solicitaron retiros de EarnETH antes de la crisis de liquidez serán redimidos a valoraciones pre-incidente. Las solicitudes de retiro posteriores serán procesadas después de que las condiciones de liquidez se normalicen. La orientación oficial de todos los protocolos afectados permanece sin cambios: no interactuar con rsETH en ninguna cadena hasta que se anuncie una resolución formal.
Parche de seguridad Qué cambió
La configuración DVN de 1-de-1 que permitió este ataque ha sido identificada como la vulnerabilidad raíz definitiva y no aparecerá en futuras implementaciones de KelpDAO o LayerZero. LayerZero reconoció que había recomendado configuraciones multi-DVN a KelpDAO antes del exploit, pero que su protocolo aún permitía implementaciones de 1-de-1, una brecha que ahora está abordando a nivel de protocolo. El investigador de seguridad en cadena banteg identificó públicamente que varios otros proyectos aún operaban configuraciones de puente 1-de-1 a partir del 19 de abril, incluyendo varios en Arbitrum, Base y BSC, lo que desencadenó revisiones de seguridad urgentes en todo el ecosistema DeFi. Se está adoptando un estándar mínimo de verificación multi-DVN de 2-de-3 como la base de la industria en todas las implementaciones de puente de alto valor.
Sentimiento de inversores Miedo u oportunidad
El sentimiento del mercado respecto a rsETH en particular sigue siendo profundamente negativo y permanecerá así hasta que se publique formalmente la hoja de ruta de recuperación DeFi United y se confirme la distribución de deuda incobrable. Sin embargo, el sector DeFi en general muestra signos tempranos de una operación de refugio, con capital rotando de protocolos afectados a alternativas no comprometidas. Santiment confirmó que este patrón emergió seis días después del fallout de Kelp. La rapidez y escala de la coalición DeFi United, con más de 13,500 ETH ya comprometidos por contribuyentes confirmados, es mayor que cualquier esfuerzo previo de recuperación tras un exploit DeFi y señala una madurez significativa del ecosistema. El hecho de que 1,800 titulares de tokens EtherFi votaran abrumadoramente para desplegar capital de recuperación confirma que los mecanismos de gobernanza DeFi pueden movilizarse a velocidad de crisis cuando las apuestas son altas.
Lecciones para la seguridad en DeFi Qué cambia esto de forma permanente
Tres cambios estructurales están en marcha en DeFi como resultado directo de este exploit. Primero, las configuraciones DVN de 1-de-1 están siendo eliminadas de todos los principales protocolos de puente; el ataque de KelpDAO demostró que la compromisión de un solo validador puede drenar cientos de millones en minutos. Segundo, se está exigiendo el monitoreo en tiempo real de las invariantes, rastreando las relaciones de bloqueo a acuñación en todas las cadenas simultáneamente, como un requisito de seguridad central, no opcional. Tercero, los límites de concentración de TVL en puentes están entrando en discusiones de gobernanza en los principales protocolos; ningún puente debería mantener respaldo de reserva para un porcentaje significativo de la oferta circulante de un token sin mecanismos automáticos de corte de emergencia.
Cronograma de recuperación
El plazo base para la resolución es de 30 a 60 días para que la hoja de ruta de DeFi United se ejecute, la deuda incobrable se distribuya y los mercados de rsETH comiencen a reabrirse en cada cadena, comenzando por Ethereum mainnet. La recuperación optimista para rsETH depende de que tres variables converjan: que se finalicen en una semana los compromisos de capital de DeFi United, que la gobernanza del Consejo de Seguridad de Arbitrum apruebe la distribución de los 70 millones de USDT recuperados, y que el atacante no realice movimientos adicionales en THORChain que compliquen aún más la forense en cadena.
Para los titulares existentes de rsETH, esta es una situación de mantener y monitorear, no de vender en iliquidez ni de comprar hasta que se confirme la ruta de recuperación formal. Para el ecosistema DeFi en general, la iniciativa DeFi United representa la respuesta de crisis coordinada más fuerte en la historia del sector. Si tiene éxito, establecerá un nuevo estándar en cómo DeFi maneja eventos de cisne negro. Si fracasa, la presión regulatoria para seguros obligatorios en DeFi y auditorías de seguridad en puentes se volverá políticamente inevitable.
El ataque ha terminado. La recuperación ha comenzado. El resultado depende de si los mayores nombres de DeFi pueden cumplir con sus mayores compromisos.
Seis días después del mayor hackeo DeFi de 2026, la crisis de rsETH ha entrado en su fase de recuperación más crítica. El ataque está contenido. La hemorragia se ha detenido. Pero la resolución completa que abarca la distribución de deuda incobrable, la restauración del peg de rsETH y la recuperación de fondos en múltiples cadenas todavía se desarrolla activamente esta mañana. Aquí está todo lo confirmado hoy.
Resumen del ataque Qué ocurrió el 18 de abril
El 18 de abril de 2026 a las 17:35 UTC, un atacante explotó el puente LayerZero V2 de KelpDAO entre Unichain y la red principal de Ethereum. El puente fue configurado con un DVN catastróficamente débil de 1-de-1, lo que significa que un solo nodo validador operado por LayerZero Labs tenía plena autoridad para aprobar mensajes entre cadenas sin verificación independiente. El atacante envenenó la infraestructura RPC utilizada por el DVN de LayerZero, DDoSeando nodos legítimos para forzar la conmutación a nodos comprometidos, luego falsificó un mensaje válido entre cadenas que engañó al puente para acuñar 116,500 tokens rsETH no respaldados directamente a direcciones controladas por el atacante. Esos tokens fueron depositados inmediatamente en Aave V3 como colateral, permitiendo al atacante tomar prestadas grandes cantidades de WETH reales contra un respaldo completamente ficticio. Daño total: 292 millones de USDT, el mayor exploit DeFi de 2026.
Progreso de recuperación Qué se ha confirmado hoy
La recuperación avanza pero aún está incompleta. El Consejo de Seguridad de Arbitrum ha recuperado aproximadamente 70 millones de USDT en ETH vinculados al ataque, un aumento respecto a los 30,766 ETH reportados a principios de esta semana. Esos fondos permanecen en una billetera intermediaria a la espera de una decisión de gobernanza sobre la metodología de distribución. Sin embargo, una gran parte de los activos robados ya ha sido movida a través de THORChain, lo que complica significativamente la recuperación total. La multisig de KelpDAO congeló los contratos principales poco después de identificar el exploit, lo que bloqueó con éxito un segundo intento de robo por aproximadamente 95 millones de USDT, confirmando que los mecanismos de respuesta de emergencia se activaron correctamente tras la brecha inicial. La tasa de recuperación total sigue siendo mucho menor al 50% de los fondos robados hasta el 24 de abril.
Coalición de la Industria DeFi United se forma
El desarrollo más importante de hoy es la expansión formal de la iniciativa de recuperación DeFi United, un esfuerzo coordinado de rescate a nivel de la industria liderado por Aave para estabilizar el respaldo de rsETH y eliminar la deuda incobrable en las plataformas de préstamo afectadas. Las contribuciones confirmadas hasta el 24 de abril incluyen a Stani Kulechov, fundador de Aave, comprometiendo personalmente 5,000 ETH de su propio capital, diciendo: "Aave es el trabajo de mi vida y estamos trabajando sin parar para encontrar el mejor resultado posible para los usuarios." La gobernanza de EtherFi recibió una aprobación abrumadora de 1,800 titulares de tokens, autorizando una contribución de hasta 5,000 ETH de su tesorería DAO. Lido Finance ha comprometido hasta 2,500 stETH exclusivamente para abordar la brecha de respaldo de rsETH. La Fundación Golem y Golem Factory aportaron en conjunto 1,000 ETH de sus tesorerías. LayerZero también propuso una contribución para restaurar el respaldo de rsETH, afirmando que ha estado coordinando estrechamente con Aave, EtherFi, Ethena, Arbitrum y Kelp durante todo el proceso. Tydro, Ink Foundation y Mantle se unieron a la coalición, con Mantle proponiendo un gran préstamo estructurado para apoyar la posición de liquidez de Aave. En una semana, se espera publicar una hoja de ruta integral que detalle todas las entidades involucradas y las metodologías de distribución de fondos.
Estado de reserva de respuesta oficial de Aave
El Guardian de Aave inició congelaciones de emergencia en los mercados de rsETH y wrsETH en todas las implementaciones en 77 minutos desde el exploit inicial, a las 18:52 UTC del 18 de abril. Hasta el 24 de abril, las reservas de rsETH permanecen en pausa en Ethereum Core, Arbitrum, Base, Mantle y Linea, con Aave afirmando explícitamente que la pausa extendida está diseñada para facilitar la máxima recuperación de fondos a medida que avanzan los planes de resolución. La gobernanza de Aave ha desactivado los mercados de rsETH en las implementaciones V3 y V4. Todos los demás pools de Aave permanecen completamente seguros y operativos; el incidente se limita exclusivamente a rsETH y no refleja ninguna vulnerabilidad en el protocolo Aave en sí.
Contagio más amplio en DeFi La imagen completa del daño
El contagio se extendió mucho más allá de KelpDAO. Aave registró 6,200 millones de USDT en salidas netas, una reducción del 23%. Morpho perdió 716 millones de USDT, un 9% menos. Sky protocol perdió 272 millones de USDT, un 4% menos. JupLend perdió 76 millones de USDT, un 8% menos. El TVL total de DeFi cayó aproximadamente 10 mil millones de USDT inmediatamente después del ataque, con JPMorgan estimando un impacto más amplio en el ecosistema de 20 mil millones de USDT. Lido suspendió su producto EarnETH, que tenía aproximadamente un 9% de su TVL expuesto directamente a rsETH de KelpDAO, y desplegó un buffer de liquidez de 3 millones de USDT mientras procesaba retiros por solicitudes previas al incidente a valoraciones pre-ataque. DVV, GGV y EarnUSD de Lido confirmaron tener cero exposición directa a rsETH y continuaron operando normalmente. SparkLend y Fluid implementaron pausas de emergencia en la exposición a rsETH. Las tasas de interés impulsadas por la utilización se dispararon en varias plataformas de préstamo, forzando la reducción de apalancamiento de los prestatarios y ajustes en las carteras en todo el ecosistema.
Estado actual de fondos de usuarios por tipo de posición
La seguridad de los fondos de los usuarios depende completamente del producto y la cadena en la que tenían exposición.
Los titulares de rsETH en Ethereum mainnet respaldados por depósitos legítimos de EigenLayer mantienen su respaldo subyacente. Las delegaciones de EigenLayer fueron confirmadas completamente intactas y nunca fueron comprometidas. Los usuarios de Aave con posiciones no rsETH en todos los pools están completamente seguros y sin afectaciones. Los usuarios que poseen rsETH envuelto en redes Layer 2 enfrentan una incertidumbre genuina: el respaldo del puente para esos tokens está roto, y la distribución de pérdidas entre cadenas aún no ha sido determinada formalmente. Los usuarios que solicitaron retiros de EarnETH antes de la crisis de liquidez serán redimidos a valoraciones pre-incidente. Las solicitudes de retiro posteriores serán procesadas después de que las condiciones de liquidez se normalicen. La orientación oficial de todos los protocolos afectados permanece sin cambios: no interactuar con rsETH en ninguna cadena hasta que se anuncie una resolución formal.
Parche de seguridad Qué cambió
La configuración DVN de 1-de-1 que permitió este ataque ha sido identificada como la vulnerabilidad raíz definitiva y no aparecerá en futuras implementaciones de KelpDAO o LayerZero. LayerZero reconoció que había recomendado configuraciones multi-DVN a KelpDAO antes del exploit, pero que su protocolo aún permitía implementaciones de 1-de-1, una brecha que ahora está abordando a nivel de protocolo. El investigador de seguridad en cadena banteg identificó públicamente que varios otros proyectos aún operaban configuraciones de puente 1-de-1 a partir del 19 de abril, incluyendo varios en Arbitrum, Base y BSC, lo que desencadenó revisiones de seguridad urgentes en todo el ecosistema DeFi. Se está adoptando un estándar mínimo de verificación multi-DVN de 2-de-3 como la base de la industria en todas las implementaciones de puente de alto valor.
Sentimiento de inversores Miedo u oportunidad
El sentimiento del mercado respecto a rsETH en particular sigue siendo profundamente negativo y permanecerá así hasta que se publique formalmente la hoja de ruta de recuperación DeFi United y se confirme la distribución de deuda incobrable. Sin embargo, el sector DeFi en general muestra signos tempranos de una operación de refugio, con capital rotando de protocolos afectados a alternativas no comprometidas. Santiment confirmó que este patrón emergió seis días después del fallout de Kelp. La rapidez y escala de la coalición DeFi United, con más de 13,500 ETH ya comprometidos por contribuyentes confirmados, es mayor que cualquier esfuerzo previo de recuperación tras un exploit DeFi y señala una madurez significativa del ecosistema. El hecho de que 1,800 titulares de tokens EtherFi votaran abrumadoramente para desplegar capital de recuperación confirma que los mecanismos de gobernanza DeFi pueden movilizarse a velocidad de crisis cuando las apuestas son altas.
Lecciones para la seguridad en DeFi Qué cambia esto de forma permanente
Tres cambios estructurales están en marcha en DeFi como resultado directo de este exploit. Primero, las configuraciones DVN de 1-de-1 están siendo eliminadas de todos los principales protocolos de puente; el ataque de KelpDAO demostró que la compromisión de un solo validador puede drenar cientos de millones en minutos. Segundo, se está exigiendo el monitoreo en tiempo real de las invariantes, rastreando las relaciones de bloqueo a acuñación en todas las cadenas simultáneamente, como un requisito de seguridad central, no opcional. Tercero, los límites de concentración de TVL en puentes están entrando en discusiones de gobernanza en los principales protocolos; ningún puente debería mantener respaldo de reserva para un porcentaje significativo de la oferta circulante de un token sin mecanismos automáticos de corte de emergencia.
Cronograma de recuperación
El plazo base para la resolución es de 30 a 60 días para que la hoja de ruta de DeFi United se ejecute, la deuda incobrable se distribuya y los mercados de rsETH comiencen a reabrirse en cada cadena, comenzando por Ethereum mainnet. La recuperación optimista para rsETH depende de que tres variables converjan: que se finalicen en una semana los compromisos de capital de DeFi United, que la gobernanza del Consejo de Seguridad de Arbitrum apruebe la distribución de los 70 millones de USDT recuperados, y que el atacante no realice movimientos adicionales en THORChain que compliquen aún más la forense en cadena.
Para los titulares existentes de rsETH, esta es una situación de mantener y monitorear, no de vender en iliquidez ni de comprar hasta que se confirme la ruta de recuperación formal. Para el ecosistema DeFi en general, la iniciativa DeFi United representa la respuesta de crisis coordinada más fuerte en la historia del sector. Si tiene éxito, establecerá un nuevo estándar en cómo DeFi maneja eventos de cisne negro. Si fracasa, la presión regulatoria para seguros obligatorios en DeFi y auditorías de seguridad en puentes se volverá políticamente inevitable.
El ataque ha terminado. La recuperación ha comenzado. El resultado depende de si los mayores nombres de DeFi pueden cumplir con sus mayores compromisos.
