Un atacante drenó 292 millones de dólares de KelpDAO en lo que ya se considera el mayor exploit DeFi del año. El golpe afecta a wrapped ether (rsETH) repartido en más de 20 cadenas diferentes, dejando un rastro de deuda incobrable en Aave y preguntas sin respuesta sobre la seguridad de los protocolos de restaking líquido.
El ataque se detectó en las primeras horas del 19 de abril. Los monitores on-chain registraron movimientos anómalos de fondos desde contratos de KelpDAO hacia direcciones desconocidas. En cuestión de minutos, el token rsETH perdió la paridad con ether y cayó por debajo de 0,85 ETH antes de que los mercados secundarios suspendieran la cotización.
Cómo funcionó el exploit contra KelpDAO
KelpDAO opera como un protocolo de liquid restaking: los usuarios depositan ether, reciben rsETH a cambio y ese colateral se despliega en múltiples cadenas para generar rendimiento. El problema es que esa arquitectura multichain amplifica la superficie de ataque.
Según los primeros análisis de investigadores on-chain, el atacante explotó una vulnerabilidad en el mecanismo de puentes que sincroniza los balances de rsETH entre cadenas. Al manipular el oráculo de precios en una cadena secundaria, consiguió que el protocolo reconociera colateral ficticio. Con ese colateral inflado, drenó ether real de los contratos principales.
El vector recuerda al exploit de Wormhole en febrero de 2022, aunque con una ejecución más sofisticada. Aquí no se trató de un puente externo comprometido, sino de la lógica interna del propio protocolo. El atacante conocía el código. O lo había auditado con más cuidado que los propios desarrolladores.
Los fondos robados están ahora distribuidos en al menos 20 blockchains distintas: Ethereum, Arbitrum, Base, Optimism, BNB Chain y otras L2 menores. Esa fragmentación complica enormemente cualquier intento de recuperación o congelación.
Aave absorbe el impacto: deuda incobrable y riesgo sistémico
El daño no se limita a KelpDAO. Muchos usuarios habían depositado rsETH como colateral en Aave para pedir préstamos en stablecoins o en ETH. Cuando el token perdió la paridad, esas posiciones quedaron subliquidadas de forma instantánea.
El protocolo de lending ahora arrastra una deuda incobrable estimada en más de 40 millones de dólares. Los liquidadores no pudieron actuar a tiempo porque el precio de rsETH colapsó más rápido de lo que los oráculos de Aave podían actualizar. Es un fallo de diseño conocido: cuando un activo de colateral pierde valor de golpe, los mecanismos de liquidación no escalan.
La DAO de Aave ya ha activado el módulo de seguridad para cubrir parte del agujero, pero algunos miembros de la gobernanza cuestionan si el protocolo debería haber aceptado rsETH como colateral desde el principio. El activo llevaba apenas tres meses listado. No había pasado por un ciclo de estrés real hasta ahora.
El patrón que se repite en cada ciclo alcista
Cada bull market trae su oleada de exploits. En 2021 fueron los puentes y los flash loans. En 2022, los fallos de custodia centralizada. Ahora, en 2026, los protocolos de restaking líquido se han convertido en el eslabón débil. La promesa de rendimiento adicional por bloquear ether en múltiples capas de staking atrae capital, pero también crea complejidad que nadie audita con suficiente rigor.
KelpDAO había recaudado 15 millones de dólares en su ronda seed hace menos de un año. Tenía auditorías de dos firmas reconocidas. Y aun así, el atacante encontró un hueco. Creo que el problema no está en las auditorías en sí, sino en la velocidad a la que estos protocolos despliegan código nuevo sin periodos de prueba adecuados.
El mercado DeFi gestiona ya más de 180.000 millones de dólares en valor bloqueado, según datos de DefiLlama. Pero la infraestructura de seguridad no ha escalado al mismo ritmo. Los bug bounties son insuficientes. Las auditorías se hacen contra reloj. Y los equipos priorizan la captura de TVL sobre la robustez del código.
No es la primera vez que lo vemos. Probablemente no será la última. Lo que sí cambia es la escala: 292 millones de dólares robados en una sola operación sitúan a este exploit por encima de Ronin Bridge en 2022 si ajustamos por el precio actual del ether.
El equipo de KelpDAO ha publicado un breve comunicado en X confirmando el incidente y prometiendo un post-mortem completo en las próximas 48 horas. También han contactado con firmas de análisis forense on-chain para rastrear los fondos. Pero recuperar activos dispersos en 20 cadenas, algunas con gobernanza descentralizada y sin mecanismos de censura, es casi imposible.
El atacante, de momento, mantiene los fondos inmóviles. Quizá espera a que baje la presión. Quizá negocia en privado. O quizá simplemente espera el momento oportuno para mover el botín a través de mezcladores y exchanges sin KYC. Lo que parece claro es que el dinero no va a volver.
