Dos millones de ETH abandonaron Aave en menos de 48 horas. El detonante: un exploit de 292 millones de dólares en KelpDAO que ha dejado deuda incobrable en el mayor protocolo de préstamos descentralizados del ecosistema Ethereum. La fuga supera los 6.000 millones de dólares y marca el hackeo DeFi más grave de 2026.
El ataque explotó una vulnerabilidad en rsETH, el token de liquid restaking de KelpDAO que servía como colateral en Aave. Los atacantes manipularon el oráculo de precios del activo, inflaron artificialmente su valor y tomaron préstamos masivos en ETH contra ese colateral fantasma. Cuando el precio se corrigió, las posiciones quedaron subliquidadas. Aave se encontró con deuda que nadie puede pagar.
El mecanismo del exploit de rsETH
KelpDAO opera como protocolo de liquid restaking: los usuarios depositan ETH en la red de EigenLayer y reciben rsETH a cambio, un derivado que representa su posición. Ese rsETH puede usarse como colateral en otros protocolos DeFi. Aave lo aceptaba.
El problema está en cómo Aave valoraba ese colateral. El oráculo que alimentaba el precio de rsETH dependía de un pool de liquidez con profundidad insuficiente. Los atacantes drenaron ese pool, manipularon la cotización al alza y pidieron préstamos de ETH real contra rsETH inflado. Después, el precio volvió a su nivel normal. Las liquidaciones automáticas no pudieron ejecutarse a tiempo porque no había contrapartida. El resultado: deuda incobrable de aproximadamente 292 millones de dólares que queda en el balance de Aave.
No es la primera vez que un activo de liquid staking genera problemas en préstamos DeFi. En 2023, el depeg de stETH tras la quiebra de Celsius ya había tensionado los mercados de colateral. Pero aquella crisis fue de liquidez. Esta es de arquitectura.
Fuga masiva de depositantes en Aave
La reacción del mercado ha sido inmediata. Según datos on-chain que recogen tanto CoinDesk como CriptoNoticias, los depositantes de Aave han retirado más de 2 millones de ETH desde que se conoció el exploit. El TVL del protocolo ha caído un 35% en dos días, pasando de unos 17.000 millones a aproximadamente 11.000 millones de dólares.
La lógica es sencilla. Si Aave tiene deuda incobrable, el protocolo podría verse obligado a activar su módulo de seguridad, que recorta los fondos de los stakers de AAVE para cubrir pérdidas. Los grandes depositantes no quieren quedarse a ver si eso ocurre. Prefieren salir ahora.
El token AAVE ha perdido un 28% desde el viernes, según datos de mercado. KelpDAO, por su parte, ha suspendido depósitos y retiradas mientras investiga el vector de ataque junto a auditores externos. rsETH cotiza con un descuento del 12% respecto al ETH nativo, lo que sugiere que el mercado descuenta más problemas.
Riesgo estructural en el lending DeFi con colaterales derivados
Este incidente expone un problema que llevamos arrastrando desde el boom del liquid restaking en 2024: los protocolos de préstamos aceptan colaterales cuyo riesgo no entienden del todo. O peor, lo entienden pero priorizan el crecimiento del TVL.
rsETH no es ETH. Es un derivado de un derivado. El usuario deposita ETH en EigenLayer, recibe un token de restaking, lo deposita en KelpDAO, recibe rsETH, y luego usa ese rsETH como colateral en Aave para pedir más ETH. Cada capa añade riesgo: de smart contract, de oráculo, de liquidez. Cuando una falla, el castillo de naipes se desploma.
Aave presumía de ser el protocolo más auditado de DeFi. Probablemente lo sea. Pero las auditorías evalúan el código, no la composabilidad de activos externos. El oráculo de rsETH funcionaba según sus especificaciones. El problema es que esas especificaciones eran insuficientes para un activo con tan poca liquidez real.
Me parece que la lección aquí no es técnica sino de gobernanza. ¿Quién decide qué colaterales acepta un protocolo? ¿Con qué criterios de riesgo? ¿Qué pasa cuando el incentivo de captar TVL entra en conflicto con la prudencia? Aave tiene un sistema de votación descentralizado, pero los holders de AAVE también se benefician de que el protocolo crezca. El conflicto de intereses es estructural.
La comparación con la banca tradicional resulta incómoda pero inevitable. Los bancos también aceptan colaterales que luego resultan valer menos de lo esperado. La diferencia es que tienen ratios de capital regulados y prestamistas de última instancia. DeFi no tiene ninguna de las dos cosas. Cuando hay un agujero, lo pagan los depositantes o los stakers del token de gobernanza.
El próximo paso depende de la DAO de Aave. Si activan el módulo de seguridad, los stakers de AAVE asumirán pérdidas. Si no lo activan y la deuda incobrable se queda en el balance, el protocolo pierde credibilidad como mercado de préstamos seguro. No hay salida limpia.
KelpDAO, por su parte, tendrá que explicar cómo un pool de liquidez tan pequeño alimentaba un oráculo que respaldaba cientos de millones en colateral. El equipo aún no ha emitido un post-mortem completo. Hasta que lo haga, cualquier activo de liquid restaking cotizará con prima de riesgo añadida.
Este domingo, el ecosistema DeFi amanece con una resaca conocida: el recordatorio de que la innovación sin gestión de riesgos adecuada termina igual que siempre.
