Sin comunicado previo. Sin advertencia. Solo un movimiento anómalo de 116.500 rsETH a las 03:41 UTC del 18 de abril de 2026. El mayor ataque a la DeFi de 2026 no comenzó con una explosión: comenzó con una operación que parecía completamente normal.
Informe de Incidente de Seguridad
Protocolo
Kelp DAO (rsETH Bridge)
Cantidad sustraída
$292 millones (116.500 rsETH)
Chain
Ethereum mainnet + 20+ L2 (Base, Arbitrum, Linea, Blast, Mantle, Scroll)
Fecha
18 de abril de 2026, 03:41 UTC
Vector
Vulnerabilidad en el bridge cross-chain construido sobre LayerZero, que gestionaba la reserva de rsETH en más de 20 blockchains. El atacante aprovechó la falla para transferir 116.500 rsETH de la reserva del bridge. Luego depositó 89.567 rsETH en Aave como garantía y tomó prestados $190,86 millones en wrapped Ether, mientras el oráculo de Aave aún valoraba rsETH al precio previo al exploit.
Respuesta del protocolo
Kelp DAO suspendió los contratos rsETH en mainnet y L2 tras identificar la actividad sospechosa. Aave congeló los mercados rsETH para impedir nuevos depósitos y préstamos contra ese colateral. Comunicado oficial de Kelp DAO en X: 06:00 UTC del 18 de abril de 2026.
Fuente: PeckShield · CertiK · CoinDesk · Cybernews · Bank Policy Institute · 18-20 de abril de 2026
Fuente: PeckShield · CertiK · CoinDesk · Cybernews · Bank Policy Institute · 18-20 de abril de 2026
¿Cómo funcionó la manipulación del oráculo de Aave que multiplicó el daño?
El daño directo del bridge LayerZero fue de $292 millones, según los datos de PeckShield. Lo que Aave amplificó fue algo de otra magnitud.
El atacante depositó 89.567 rsETH en Aave como garantía. El problema: el oráculo de precios de Aave no verifica el origen de los activos depositados, solo su valor de mercado en el momento del depósito. A las 03:41 UTC, rsETH aún cotizaba al precio previo al exploit. El atacante obtuvo $190,86 millones en wrapped Ether prestado contra una garantía que el mercado estaba a punto de devaluar drásticamente. Cuando Aave congeló los mercados rsETH, $190 millones en ether real ya habían salido del protocolo.
En las 48 horas siguientes, según datos de CoinDesk, Aave perdió $8,45 mil millones en depósitos totales, cayendo de $26,35 mil millones a $17,9 mil millones. Más de $13 mil millones salieron de todo el ecosistema DeFi como reacción. Stani Kulechov, fundador de Aave, precisó en un post en X que los contratos de Aave no habían sido vulnerados: el problema era el activo aceptado como garantía. Distinción técnica importante. No frenó las salidas.
No es el primer protocolo de liquid staking en ceder ante un vector similar. Drift Protocol sufrió un ataque de $286 millones en marzo de 2026 en Solana, con posible vinculación a grupos asociados a Corea del Norte según el análisis de Elliptic. Dos eventos separados, dos vectores distintos, una semana de diferencia. Al 20 de abril de 2026, los daños acumulados en DeFi durante 2026 ya superaban los $775 millones, de acuerdo con CertiK.
Qué cambia ahora para la DeFi institucional
Según CoinDesk, Apollo Global Management y BlackRock no modificaron sus planes de expansión en las finanzas onchain tras el exploit. La postura de los institucionales es pragmática: el problema no es la DeFi en sí misma, sino el nivel actual de sus defensas.
“Cada capa del stack DeFi debe hacer de la seguridad su prioridad absoluta. Más aún en la era de la inteligencia artificial, que hace ciertos vectores de ataque mucho más rápidos de construir.”
PeckShield rastreó los movimientos de los fondos robados hacia direcciones vinculadas a Tornado Cash en las horas posteriores al ataque: según su análisis, $180 millones ya estaban en proceso de mixing antes de las 08:00 UTC del 18 de abril. La posibilidad de recuperación es prácticamente nula.
Lo que hay que seguir en las próximas semanas: los debates sobre la validación multi-fuente obligatoria para los oráculos de precios en los principales protocolos, la propuesta de Kelp DAO sobre un fondo de compensación para los usuarios afectados, y las declaraciones del BCE, que el 2 de mayo citó explícitamente el exploit como argumento adicional para la supervisión prudencial de los activos DeFi en el marco de la revisión MiCA 2026. Christine Lagarde habló de estabilidad sistémica. Esta vez con cifras reales que la respaldan.
