El popular protocolo de finanzas descentralizadas (DeFi) KelpDAO ha sido víctima de un ataque informático que ha desembocado en el robo de 293 millones de dólares en activos digitales. La cifra convierte este incidente en el mayor exploit DeFi del año en Ethereum, superando con creces los anteriores ataques a plataformas similares. Con este golpe, más de un centenar de millones de euros —unos 260 millones al cambio actual— han desaparecido de las carteras de los usuarios en cuestión de minutos, según los datos preliminares que circulan en el sector, aún sin confirmación oficial completa.
Un ataque quirúrgico contra el código de un gigante DeFi
El ataque se ha producido mediante lo que los expertos en seguridad llaman un exploit, es decir, un fallo en el código de los contratos inteligentes que el atacante ha sabido aprovechar. En el caso de KelpDAO, todo apunta a que la vulnerabilidad estaba en una actualización reciente de uno de sus módulos de gestión de activos. El protocolo, que funcionaba como un granero de liquidez donde los usuarios podían depositar criptoactivos para obtener rendimientos, quedó expuesto durante apenas unos bloques. Pero fueron suficientes para que el atacante drenara casi 300 millones de dólares.
Los detalles técnicos aún no se han hecho públicos —el equipo de KelpDAO se ha limitado a confirmar el incidente y a pedir calma—, pero fuentes cercanas a la investigación señalan que el exploit podría estar relacionado con un descuido en la verificación formal del nuevo código. La mayoría de los usuarios de KelpDAO ha visto cómo sus fondos desaparecían, una situación que recuerda a los peores días de la DeFi experimental de 2020.
Consecuencias para los inversores y para el ecosistema Ethereum
El robo ha tenido un impacto inmediato en el precio de ETH, que llegó a ceder un 3% antes de estabilizarse. Más preocupante es la caída del token de gobierno de KelpDAO, que se ha desplomado más de un 80% en las horas posteriores al anuncio. Para los usuarios atrapados, la situación es angustiosa: el protocolo ha pausado todas las operaciones y no hay garantía de que los fondos puedan recuperarse, aunque algunos equipos de análisis on-chain ya están rastreando las direcciones del atacante.
Este tipo de sucesos erosiona la confianza en unas herramientas financieras que, en teoría, están diseñadas para eliminar intermediarios y ofrecer transparencia total. La paradoja es que la misma automatización que hace posible las finanzas descentralizadas las convierte en un blanco atractivo para atacantes con conocimientos avanzados de programación. Vaya susto.
El eterno reto de la seguridad en las finanzas descentralizadas
Este no es, ni mucho menos, el primer batacazo de la DeFi. En 2016, el ataque a The DAO provocó un robo de 60 millones de dólares y forzó un polémico hard fork en Ethereum. Desde entonces, la lista de incidentes incluye el saqueo al puente de Ronin (más de 600 millones en 2022) o el de Poly Network (610 millones en 2021, aunque gran parte fue devuelto). Sin embargo, el caso de KelpDAO es especial porque se produce en un momento en el que la industria presumía de haber madurado, con auditorías más rigurosas y fondos de seguro cada vez más comunes.
El exploit muestra que, pese a que la capa base de Ethereum —su red principal— es sólida y ha resistido con éxito todos los intentos de ataque desde The Merge, las aplicaciones construidas sobre ella siguen siendo el eslabón más débil. La excesiva concentración de fondos en unos pocos protocolos hace que un fallo en cualquiera de ellos pueda tener un impacto sistémico. A esto se suma el problema de la composabilidad: cuando un protocolo puede interactuar automáticamente con otro, el error se contagia como un virus.
Como redactores de este medio, creemos que la solución no pasa por demonizar la DeFi, sino por exigir estándares de seguridad mucho más altos. Las auditorías exhaustivas, los seguros de depósito descentralizados y los mecanismos de recuperación de fondos deberían ser parte del diseño desde el primer día, no un parche tras el desastre. La pregunta que queda en el aire es si este robo de 293 millones servirá para acelerar esas mejoras o si, como ha ocurrido otras veces, en unos meses volveremos a ver titulares parecidos con otro nombre de protocolo. Dejémoslo en un ‘ya veremos’.
