En menos de 48 horas, 13.000 millones de dólares han abandonado los protocolos de finanzas descentralizadas. El detonante: un exploit masivo contra KelpDAO que ha desatado una espiral de retiradas en cadena por todo el ecosistema DeFi.
No es solo el hack en sí. Es lo que viene después. El TVL DeFi ha pasado de rozar los 95.000 millones a caer por debajo de los 82.000 millones según datos de DefiLlama, una contracción del 14% que borra semanas de recuperación.
El exploit a KelpDAO y sus números
KelpDAO, protocolo de liquid restaking sobre Ethereum, sufrió el ataque el pasado 18 de abril. Los primeros análisis on-chain apuntan a una vulnerabilidad en el contrato de staking que permitió drenar fondos de los usuarios antes de que el equipo pudiera pausar el protocolo. La cifra exacta sigue sin confirmarse oficialmente, pero las estimaciones de investigadores independientes sitúan las pérdidas directas entre 320 y 380 millones de dólares.
El problema no quedó ahí. KelpDAO tenía integraciones con otros protocolos de restaking y plataformas de préstamo que utilizaban sus tokens como colateral. Cuando el precio del token nativo colapsó un 67% en cuestión de horas, se activaron liquidaciones en cascada.
He visto contagios similares antes —el colapso de UST en 2022, el efecto dominó tras FTX—, pero la velocidad de este ha sido llamativa. En aquel entonces hablábamos de semanas. Aquí hablamos de dos días.
El contagio se extiende más allá del restaking
Lo que empezó como un problema localizado en un protocolo de liquid restaking ha terminado afectando a todo el ecosistema. Según datos de CoinDesk, protocolos sin relación directa con KelpDAO han registrado salidas netas significativas en las últimas 48 horas.
Aave perdió 1.800 millones en depósitos. Lido, el mayor protocolo de staking líquido, vio retiradas por valor de 2.400 millones. Incluso plataformas en otras cadenas como Solana y Arbitrum han experimentado fugas de capital, aunque de menor magnitud.
La lógica del mercado en estos casos es conocida: cuando un hack grande genera incertidumbre, los usuarios retiran fondos de cualquier protocolo que perciban como vulnerable, independientemente de si tiene relación con el ataque original. El pánico no discrimina.
Eso sí, hay matices. Los protocolos con auditorías recientes de firmas reconocidas y aquellos con fondos de seguro activos han sufrido salidas proporcionalmente menores. La reputación del equipo y la transparencia en la comunicación post-hack están marcando diferencias.
Por qué este hack importa más allá de las cifras
El sector del liquid restaking llevaba meses siendo la narrativa estrella de DeFi en 2026. Protocolos como EigenLayer, Renzo y el propio KelpDAO habían acumulado decenas de miles de millones en TVL prometiendo rendimientos adicionales sobre el staking de Ethereum. La tesis era que podías apostar tus ETH, obtener un token líquido representativo, y usar ese token para generar rendimiento adicional en otros protocolos.
El hack a KelpDAO pone en cuestión la seguridad de toda esa arquitectura de composabilidad. Si un fallo en un solo protocolo puede desencadenar liquidaciones en otros cinco, el riesgo sistémico es mayor de lo que muchos asumían.
Creo que este es el punto clave: el valor bloqueado DeFi 2026 había crecido en buena parte sobre la premisa de que los rendimientos compuestos justificaban la complejidad adicional. Este incidente obliga a replantear esa ecuación.
Los datos on-chain muestran que los wallets institucionales están siendo más selectivos en sus retiradas, concentrándose en protocolos de restaking y dejando relativamente intactos los de lending tradicional. Pero los usuarios minoristas están retirando de forma indiscriminada. La crisis de liquidez cripto que vemos ahora es tanto técnica como psicológica.
¿Se recuperará el TVL? Probablemente. El sector ha demostrado resiliencia ante hackeos anteriores —Ronin en 2022, Euler Finance en 2023, el bridge de Wormhole—. Pero la velocidad de esa recuperación dependerá de varios factores: si KelpDAO consigue reembolsar a los afectados, si las auditorías de otros protocolos de restaking resultan limpias, y si el mercado general de cripto mantiene el apetito por riesgo.
Por ahora, el contagio DeFi ha dejado una lección clara. La composabilidad que hace poderoso al ecosistema DeFi es también su mayor vulnerabilidad. Un contrato mal auditado puede tumbar en dos días lo que costó meses construir. Y en un mercado donde la confianza lo es todo, el próximo halving de Bitcoin en 2028 parece muy lejano cuando tienes que explicarles a tus usuarios por qué sus fondos han desaparecido.
