Un nuevo golpe sacude al sector DeFi. Kelp DAO, uno de los protocolos más activos en el ecosistema de restaking (el mecanismo por el que los usuarios reutilizan monedas ya bloqueadas para ganar recompensas adicionales), ha sufrido un ataque informático que le ha costado 292 millones de dólares, unos 270 millones de euros al cambio actual. El robo, uno de los mayores del año en el mundo cripto, se produjo aprovechando una vulnerabilidad en un bridge, el puente que conecta dos redes distintas para mover fondos entre ellas.
La noticia, adelantada por el medio especializado CoinDesk el pasado 22 de abril, ha tenido un efecto inmediato en el mercado. Aave, el mayor protocolo de préstamos descentralizados, ha sido uno de los grandes damnificados: su token se desploma mientras los usuarios retiran fondos a toda prisa.
Qué ha pasado en Kelp DAO y por qué arrastra a Aave
El ataque se ejecutó a través del puente que conecta Kelp DAO con otras redes. Los atacantes encontraron un fallo en el código que les permitió extraer los activos depositados. Dicho de otro modo, algo parecido a encontrar una llave maestra que abre la caja fuerte donde se custodiaba el dinero de miles de usuarios.
¿Y por qué cae Aave si el hackeo no ha sido suyo? La respuesta está en cómo funciona el dinero dentro del DeFi. Una parte importante del capital que movía Kelp DAO estaba depositado en Aave para generar rendimientos. Cuando estalla una crisis de confianza en un protocolo, los usuarios corren a mover sus fondos a lugares percibidos como más seguros. Según datos recogidos por CriptoNoticias, buena parte de ese capital migró hacia Spark (otro protocolo de préstamos) y hacia stablecoins como USDC (monedas que aspiran a mantener un valor fijo de un dólar).
El resultado: el TVL (el valor total de dinero depositado en un protocolo, una de las métricas que el sector usa para medir la salud de cada plataforma) de Aave se ha reducido de forma notable en cuestión de horas. Y el precio del token AAVE acompaña esa fuga con caídas de doble dígito en las principales plataformas de intercambio.
Qué significa esto para los usuarios y para el ecosistema
Para el inversor que no está metido en DeFi, la noticia tiene una lectura directa: los puentes entre redes siguen siendo el eslabón más frágil del cripto. No es la primera vez. Los mayores robos de la historia del sector, como los de Ronin en 2022 o Wormhole ese mismo año, se produjeron exactamente por la misma vía. Y la pregunta incómoda es por qué, después de tantos episodios, el problema persiste.
La respuesta técnica tiene que ver con que cada bridge es, en la práctica, un contrato informático que custodia cantidades enormes de dinero y que debe validar movimientos entre dos cadenas que no se comunican entre sí de forma nativa. Si el contrato falla, falla todo.
Para los usuarios de Aave que no tenían nada que ver con Kelp, la situación es paradójica. Su protocolo funciona correctamente, pero el precio del token sufre por el contagio y la retirada de liquidez. Es un recordatorio de que en DeFi, los protocolos están tan interconectados que el incendio en una casa afecta a todo el barrio.
Un precedente que pone a prueba la madurez del DeFi
Conviene situar este episodio en perspectiva. El año 2022 fue devastador para el sector: la caída de Terra en mayo y el colapso de FTX en noviembre borraron decenas de miles de millones y dejaron al cripto en una crisis de confianza que tardó casi dos años en superarse. Desde entonces, el discurso oficial del sector ha sido que DeFi había madurado, que las auditorías de seguridad eran más estrictas y que los puentes habían aprendido la lección.
Los hechos apuntan otra cosa. 292 millones de dólares es una cifra enorme, comparable al presupuesto anual de seguridad de varios bancos medianos europeos. Y que ese dinero haya podido extraerse aprovechando un fallo técnico en 2026, cuatro años después de Ronin, sugiere que el problema estructural sigue ahí: los incentivos para auditar a fondo siguen siendo menores que los incentivos para lanzar productos rápido y captar capital.
Creo que el episodio servirá de test para dos cosas. La primera, para ver si Aave es capaz de recomponer su TVL en las próximas semanas una vez pase el pánico inicial —su protocolo es sólido y lleva años funcionando sin incidentes graves—. La segunda, más incierta, es si los reguladores europeos y estadounidenses usarán este nuevo golpe para acelerar exigencias de auditoría y transparencia a los puentes. El marco MiCA, ya en vigor en la Unión Europea, cubre buena parte del mundo cripto, pero los protocolos descentralizados operan todavía en una zona gris.
De momento, Kelp DAO no ha confirmado si cubrirá las pérdidas con su tesorería ni si hay posibilidad de recuperar parte de los fondos a través de negociaciones con los atacantes, una práctica que en los últimos años se ha vuelto sorprendentemente habitual. Las próximas 48 horas serán clave para saber si este hackeo queda como un episodio más o si marca el inicio de una ola de desconfianza generalizada en los protocolos de restaking, uno de los segmentos que más crecimiento había acumulado en los últimos meses.
