Aave restaura WETH: rsETH de Kelp recuperado al 95%

Aave reactivó hoy los préstamos en WETH en seis redes. ¿Fin de la crisis? Casi. El 95% de los rsETH sin respaldo fue recuperado en treinta días tras el mayor exploit de la historia DeFi en 2026, según el Foro de Gobernanza de Aave. Sin embargo, 30.765 ETH, unos 71 millones de dólares, siguen congelados en Arbitrum, disputados por tres partes que no se ponen de acuerdo sobre quién tiene derecho a quedárselos. El tribunal federal de Manhattan tendrá la última palabra. Mientras tanto, DeFi hizo algo inusual: demostró que puede reparar sus propios daños de forma coordinada, sin esperar al Estado.

Los nodos RPC comprometidos que alimentaban el DVN de LayerZero Labs fueron el vector inicial del ataque, según el análisis publicado por Chainalysis. Combinado con un DDoS contra los nodos limpios, el sistema quedó con una única fuente de datos controlada por el atacante. El resultado: 116.500 rsETH liberados sin respaldo real, con una configuración de verificación 1-de-1 que no ofrecía ningún cortafuegos.

Kelp pausó los contratos core a las 18:21 UTC, 46 minutos después del drenaje, bloqueando dos intentos posteriores valorados en unos $100 millones. Aave, SparkLend y Fluid congelaron sus mercados de rsETH. El 21 de abril el Security Council de Arbitrum congeló 30.765 ETH. Dos días después, Aave lanzó DeFi United junto a Lido, EtherFi y Stani Kulechov.

Fuente: Aave Governance Forum, CoinDesk, 18 de mayo de 2026

Cómo DeFi United reconstruyó lo que Lazarus había destruido

23 de abril de 2026, cinco días después del exploit. Stani Kulechov, fundador de Aave, anuncia una aportación personal de 5.000 ETH. Le siguieron Lido Finance con 2.500 stETH (unos 5,7 millones de dólares) y EtherFi con un plan de 5.000 ETH. La iniciativa tomó el nombre de DeFi United: un fondo de recuperación coordinado, construido en semanas, sin ningún mandato institucional. El objetivo era cubrir el déficit de rsETH e impedir las liquidaciones forzadas en cascada por todo el sistema. Al final recaudó 327,95 millones de dólares, según el Foro de Gobernanza de Aave. Cuatro veces lo necesario. La coalición cerró filas en torno al problema antes de que los reguladores reaccionaran. Para el contexto completo sobre el hack original: Kelp DAO: $292M drenados del bridge rsETH LayerZero. El debate técnico entre Kelp y LayerZero se analiza aquí: LayerZero acusa al Grupo Lazarus y Kelp responde sobre la config DVN.

On April 18 at 17:35 UTC, an attacker drained 116,500 rsETH (~$292M, ~18% of circulating supply) from Kelp DAO's LayerZero-powered bridge.

$292M drained, 2026's largest DeFi hack so far.

Here's how it unfolded and what it means. 👇 https://t.co/D7i53vaj6p

, CredShields (@CredShields) April 19, 2026

El 18 de mayo, Aave restableció los ratios loan-to-value para WETH en seis deployments V3 (Ethereum Core, Ethereum Prime, Arbitrum, Base, Mantle y Linea), devolviéndolos a los valores anteriores al exploit. El comunicado oficial en X llegó a las 7:05 UTC. Para quienes operan en DeFi, el mensaje es claro: el mercado de préstamos más importante del ecosistema vuelve a funcionar por completo. Recupera la capacidad de tomar prestado contra ETH en seis redes, regresa la liquidez y se reabren las estrategias apalancadas que llevaban un mes bloqueadas.

¿Qué pasó con el exploit Kelp DAO y quién pagará las pérdidas?

El Grupo Lazarus de Corea del Norte, según la reconstrucción de LayerZero y Chainalysis, ejecutó una operación en tres fases. Primero comprometió dos nodos RPC que alimentaban el verificador del bridge. Después lanzó un ataque DDoS contra los nodos no comprometidos para dejarlos fuera de línea, dejando como única fuente de datos los ya controlados. Por último inyectó un mensaje cross-chain falso desde Unichain, ordenando al contrato de Ethereum que liberara 116.500 rsETH, como si una operación legítima hubiera ocurrido en Unichain. No había ocurrido nada. Del lado de Unichain circulaban unos 49 rsETH. El mensaje decía 116.500. El contrato ejecutó. Y listo.

La configuración 1-de-1 DVN era el punto débil. Un solo verificador, sin ningún control redundante. Kelp sostiene que era la configuración predeterminada de LayerZero en el momento del deployment; LayerZero afirma haber recomendado múltiples verificadores. Según las estimaciones publicadas en el momento del ataque, el 40% de los protocolos activos en LayerZero sigue utilizando el mismo esquema hoy. Para entender cómo el sector institucional aborda estos riesgos en América Latina: Adopción cripto: del boom retail a las instituciones. Y para saber cómo declarar activos digitales ante la AEAT: Bitcoin y declaración fiscal 2026: guía completa.

Los $71M congelados y la batalla con las víctimas norcoreanas

21 de abril. El Security Council de Arbitrum congela 30.765 ETH, equivalentes a unos 71 millones de dólares en el momento de la acción, recuperados en movimientos on-chain vinculados al atacante. La intención era devolvérselos a los usuarios perjudicados. Pero el 5 de mayo, abogados que representan a víctimas estadounidenses de terrorismo norcoreano presentaron una solicitud ante el tribunal federal del distrito sur de Nueva York. El argumento: esos fondos serían “propiedad del Estado norcoreano” en virtud del Terrorism Risk Insurance Act (TRIA) y, por tanto, embargables para cubrir sentencias ya obtenidas contra Pyongyang.

Aave respondió con un escrito al tribunal: los fondos pertenecen a los usuarios del protocolo, no a Corea del Norte. Mantenerlos bloqueados provocaría “liquidaciones en cascada y daños irreparables” a quienes no tienen nada que ver con el Grupo Lazarus. La contraparte elevó la apuesta en un segundo escrito del 6 de mayo: la posición de Aave queda debilitada por sus propios términos de servicio, que declaran expresamente que la plataforma no tiene “posesión, custodia ni control” sobre los activos de los usuarios. Si no los controla, ¿cómo puede reclamarlos ante el juez? DeFi United recaudó mientras tanto 327 millones de dólares, cuatro veces el valor en disputa. En términos numéricos, los 71 millones no son imprescindibles para la recuperación. En términos legales, el precedente que establecerían es enorme.

El contexto geopolítico que alimenta estos eventos: Bitcoin entre geopolítica y oro digital. Para la adopción institucional en América Latina: Intesa Sanpaolo y los $96M en ETF de Bitcoin. Sobre el auge de los activos digitales: Activos digitales: clientes duplicados en dos años.

El 40% de los protocolos en LayerZero sigue configurado con un verificador único, de acuerdo con los datos publicados tras el ataque. SEAL-911, la task force de seguridad DeFi, señaló que un segundo intento bloqueado por Kelp a las 18:26 UTC del 18 de abril habría sustraído otros 200 millones de dólares aproximadamente. El sistema aguantó 46 minutos antes de activar la pausa. Una eternidad para un bridge que procesa miles de millones. La pregunta que el sector arrastra es la que LayerZero no ha respondido del todo: ¿cuántos contratos en producción aceptarían hoy una firma falsa como la del 18 de abril, simplemente porque nadie ha actualizado aún la configuración? Eso es lo que los equipos de seguridad, los auditores y los propios usuarios de DeFi deberían estar monitoreando ahora mismo.