Explotación de KelpDAO: Los riesgos de DeFi están siendo reevaluados

La explotación de KelpDAO hizo más que exponer la debilidad de un solo protocolo. Obligó a los mercados DeFi a reevaluar la calidad de la garantía, el riesgo de los puentes, las suposiciones de liquidez y el verdadero costo de la composabilidad.

La explotación de KelpDAO no es solo otro hack DeFi. Es un claro ejemplo de cómo los mercados de cripto están comenzando a reevaluar el riesgo en toda la pila. Informes de abril de 2026 indicaron que un atacante drenó 116.500 rsETH, aproximadamente el 18% de la oferta circulante y alrededor de $292 millones, del puente impulsado por LayerZero de KelpDAO. Las consecuencias no se limitaron a KelpDAO. Desencadenaron congelaciones de emergencia y estrés en Aave y otros protocolos que habían tratado el rsETH como colateral utilizable e integrado.

Por eso importa este incidente. El informe propio de Kelp para el Q1 2026 indicó que el TVL total había alcanzado $1.33 mil millones y la oferta de rsETH en Aave había crecido hasta $1.2 mil millones. Kelp también promovió el papel dedicado de rsETH como colateral en la configuración de lanzamiento de Aave V4. Para cuando ocurrió el exploit, rsETH ya no era un token de rendimiento periférico. Ya se había convertido en parte de la infraestructura de crédito de DeFi.

Cuando se rompe un activo profundamente integrado, el mercado no solo precia la pérdida. Replica las suposiciones detrás de ese activo: qué tan seguro es realmente el colateral, qué tan confiable era el diseño del puente, qué tan rápido pueden aislar la exposición los lugares de préstamo y si la composabilidad ha estado brindando a los usuarios eficiencia a expensas de una fragilidad oculta. Esa es la verdadera historia detrás de la explotación de KelpDAO.

1. La explotación fue lo suficientemente grande como para convertirse en un evento de todo el mercado, no solo un problema del protocolo. Se informó que se extrajeron alrededor de 116.500 rsETH, aproximadamente el 18% de la oferta circulante y alrededor de $292 millones.
   
   

2. El ataque parece haber surgido de la infraestructura de puente y verificador, no de un fallo generalizado de Ethereum o del staking en sí. CoinDesk informó que LayerZero culpó la configuración de KelpDAO y dijo que los nodos RPC comprometidos desempeñaron un papel central.
   
   

3. La integración de rsETH en Aave hizo que las consecuencias fueran sistémicas. Kelp informó que el suministro de rsETH en Aave era de $1.2 mil millones, y destacó rsETH como garantía en la estructura de lanzamiento de Aave V4.
   
   

4. Esta no fue la primera advertencia pública sobre el riesgo de rsETH. En abril de 2025, la gobernanza de Aave documentó una congelación preventiva tras un error en Kelp rsETH que causó una acuñación excesiva inesperada.
   
   

5. El mercado ahora asigna un costo más alto a la complejidad. La verdadera revalorización se está manifestando en congelaciones, un tratamiento más estricto del riesgo y una menor tolerancia a los diseños de garantías apiladas.
   
   

Una razón por la que el exploit de KelpDAO tuvo tanto impacto es que puso de relieve una capa de riesgo que muchos usuarios apenas consideran en condiciones normales. CoinDesk informó que LayerZero atribuyó el exploit a la configuración del verificador de KelpDAO, diciendo que los atacantes comprometieron dos nodos RPC y abrumaron a otros. Eso significa que el evento no se trató simplemente de un contrato defectuoso o de una moneda que perdió confianza. Fue sobre la infraestructura subyacente a un activo ampliamente integrado que falló de una manera que el mercado no había valorado completamente.

En fases alcistas o incluso en fases de rendimiento estable, la mayoría de los usuarios se centran en la superficie visible de un activo DeFi. Observan el TVL, las integraciones, el reconocimiento de marca, la APY y si los protocolos principales lo aceptan. No dedican mucho tiempo a pensar en las suposiciones de los validadores, la diversidad de verificadores de puente o cómo la infraestructura de nodos fuera de cadena interactúa con la confianza en cadena. La explotación de KelpDAO obligó a poner al descubierto esas dependencias ocultas.

Eso importa porque una vez que un activo se utiliza como garantía, la calidad de la infraestructura detrás de él se vuelve inseparable de la calidad de la garantía misma. Un token no es solo un ticker cuando se encuentra dentro de los mercados de préstamos. Se convierte en un conjunto de suposiciones técnicas, de liquidez, de gobernanza y operativas. Si una de esas suposiciones falla, el mercado comienza a cuestionar todo el conjunto.

Si rsETH hubiera permanecido principalmente dentro del propio ecosistema de KelpDAO, la explotación aún habría sido seria, pero habría sido más fácil para el mercado contenerla. En cambio, Kelp ya había llevado rsETH profundamente a importantes plataformas DeFi. En su informe del Q1 2026, Kelp indicó que la oferta de rsETH en Aave había crecido hasta alcanzar los $1.2 mil millones. En una publicación separada, Kelp celebró la posición de rsETH como garantía en la configuración inicial de Aave V4.

Esa integración fue lo que convirtió una explotación de protocolo en un evento de crédito más amplio. Una vez que un token se acepta como garantía, su rol cambia. Ya no es simplemente algo que los usuarios mantienen para obtener rendimiento o exposición narrativa. Se convierte en una capa base para préstamos, apalancamiento y gestión de liquidez. Eso significa que el mercado debe confiar no solo en que el activo existe, sino también en que sigue respaldado, redimible y líquido bajo estrés.

Cuando esas suposiciones se debilitan, comienza la reevaluación de precios. Los prestamistas se sienten menos cómodos. Los prestatarios se retractan. Los depositantes se preocupan por el estrés en la piscina. Los participantes en la gobernanza impulsan congelaciones o cambios en los parámetros. Nada de eso requiere que el activo llegue a cero. Solo se necesita suficiente incertidumbre para que los participantes del mercado dejen de tratarlo como garantía confiable.

El exploit de 2026 no surgió en un vacío total. En abril de 2025, la gobernanza de Aave documentó una congelación preventiva de rsETH tras lo que describió como un error en el LRTOracle de KelpDAO tras una actualización del contrato inteligente. Según la publicación de gobernanza, el error provocó una acuñación inesperada excesiva a un receptor de tarifas controlado por Kelp, y Aave respondió recomendando congelaciones en múltiples instancias, deteniendo el nuevo suministro y el préstamo, y estableciendo la relación préstamo-valor en cero.

Ese incidente anterior importa porque muestra que el mercado ya había recibido una advertencia pública de que la infraestructura relacionada con rsETH no era trivial de modelar. La publicación de Aave también señaló que la actualización afectada había sido auditada. Ese es un detalle importante porque desafía uno de los atajos más comunes en el análisis DeFi: la idea de que la auditoría significa automáticamente suficientemente segura. No es así. Las auditorías ayudan, pero no eliminan el riesgo de actualización, el riesgo de oráculo, el riesgo de infraestructura ni el riesgo de respuesta de gobernanza.

Visto de esta manera, la explotación de KelpDAO no solo creó un nuevo miedo. Confirmó uno antiguo. Reforzó que esta categoría de colateral conllevaba un riesgo más complejo del que muchos usuarios, prestamistas y quizás incluso algunos actores de gobernanza habían valorado durante las fases de crecimiento. Una vez que un mercado recibe este tipo de confirmación, se vuelve mucho más difícil que la categoría de activos mantenga la misma prima.

La frase puede sonar abstracta, pero en DeFi aparece de formas muy prácticas. La revalorización significa que el mercado se vuelve menos generoso con la confianza. Los activos que antes recibían un trato favorable porque crecían rápidamente y se integraban en protocolos importantes comienzan a enfrentar un escrutinio más estricto. Los proveedores de riesgo exigen límites más ajustados, la gobernanza reacciona más rápido con congelamientos, y los usuarios se vuelven menos dispuestos a tomar prestado contra colaterales complejos o a mantener fondos estacionados donde podría propagarse el contagio. Esto no es solo un cambio en el sentimiento. Es un cambio en cómo se mide, valora y gestiona el riesgo en todo el ecosistema.

Eso es exactamente lo que la respuesta pasada de Aave ante rsETH ayuda a ilustrar. El protocolo no dedicó tiempo a debatir si los activos de restaking eran buenos o malos en teoría. Pasó directamente a la contención, congelando la actividad, reduciendo el valor de garantía que podía utilizarse y priorizando la aislación del riesgo. Eso es lo que realmente se ve en la revalorización en DeFi. Aparece primero en parámetros, tratamiento de garantías y comportamiento del usuario, no en eslóganes o narrativas de mercado. También significa que el TVL empieza a perder su valor como atajo para medir la seguridad. El propio informe de Kelp mostró un crecimiento sólido y una importante adopción en DeFi solo días antes del exploit, pero la adopción demostró demanda, no resiliencia.

Esto también indica hacia dónde se dirige el DeFi a continuación. La explotación de KelpDAO no significa que el mercado haya renunciado a liquid restaking, colateral productivo o préstamos compuestos. Esos modelos son demasiado útiles para desaparecer. Pero sí significa que el mercado está cambiando lo que recompensa. La prima probablemente se desplazará hacia estructuras de colateral más simples, diseño de verificadores más sólido, lógica de reservas más clara y controles de emergencia más rápidos. Antes de la explotación, las profundas integraciones de Kelp parecían ser impulso y eficiencia. Después de la explotación, esas mismas integraciones parecen más bien cadenas de dependencia. Esa es la lección real: DeFi aún quiere innovación, pero la confianza se está volviendo más costosa, y la composabilidad ya no se trata como si no tuviera un costo.

1. La garantía ya no se juzga solo por el crecimiento.
   Un activo puede tener una fuerte adopción, un TVL creciente y importantes integraciones, pero aún así presentar riesgos ocultos serios. La explotación de KelpDAO mostró que la aceptación en el mercado no significa automáticamente que la garantía sea lo suficientemente sólida para mantenerse confiable bajo presión.
   
   

2. El riesgo de infraestructura oculta ahora es más importante.
   La garantía no se trata solo del token en sí. También depende del diseño del puente, la configuración del verificador, la estructura de reserva y la vía de rescate detrás de él. Cuando estas capas fallan, el mercado comienza a reevaluar si el activo fue realmente tan seguro como parecía.
   
   

3. Las condiciones de estrés revelan la verdadera calidad de la garantía.
   La verdadera prueba de la garantía no es cómo se desempeña en mercados tranquilos. Es cómo se comporta durante retiros, volatilidad y fallas técnicas. Si la confianza desaparece rápidamente en un evento de estrés, el activo pierde valor como garantía utilizable, incluso si aún se negocia en el mercado.
   
   

4. Los protocolos de préstamo pueden volverse más selectivos.
   Después de incidentes como este, los protocolos DeFi probablemente examinarán con más cuidado qué activos incorporan y qué nivel de trato favorable reciben. Esto podría significar límites más bajos, parámetros de colateral más estrictos y acciones de emergencia más rápidas cuando aparezcan riesgos.
   
   

5. El mercado puede recompensar diseños más simples.
   Los activos complejos y altamente integrados pueden ser útiles, pero también generan más puntos de fallo. La explotación de KelpDAO podría impulsar al DeFi hacia la valoración de estructuras de garantía más simples, una transparencia más clara de las reservas y controles de riesgo más sólidos, por encima de narrativas puras de crecimiento.
   
   

6. La calidad de la garantía se está convirtiendo en una ventaja competitiva.
   En el futuro, los protocolos podrán ganar confianza no solo atrayendo depósitos, sino demostrando que sus activos pueden mantenerse confiables cuando los mercados están estresados. En ese entorno, un diseño de colateral más sólido podría convertirse en una de las señales más importantes de credibilidad a largo plazo.

1. ¿Qué fue el exploit de KelpDAO?

La explotación de KelpDAO fue un incidente de seguridad DeFi importante que involucró a rsETH, el token de restaking líquido de KelpDAO. El evento llamó la atención porque no se trató como un fallo aislado del protocolo. En cambio, generó preocupaciones más amplias sobre el diseño de puentes, la calidad de la garantía y los riesgos de infraestructura ocultos detrás de los activos DeFi integrados.

2. ¿Por qué fue tan importante la explotación de KelpDAO para DeFi?

Importaba porque rsETH ya estaba profundamente conectado con otros sistemas DeFi, especialmente con mercados de préstamos y garantías. Una vez que un activo se utiliza ampliamente en varios protocolos, un fallo no se queda local. Puede afectar la liquidez, la confianza en los préstamos, el comportamiento de los préstamos y cómo el precio de mercado valora los activos relacionados.

3. ¿Qué significa que “los riesgos de DeFi están siendo reevaluados”?

Significa que el mercado está volviéndose menos dispuesto a tratar por defecto activos complejos, que generan rendimiento y altamente integrados como de bajo riesgo. Tras eventos como la explotación de KelpDAO, los usuarios y los protocolos comienzan a otorgar más peso al riesgo de puente, riesgo de infraestructura, riesgo de redención y riesgo de contagio.

4. ¿Cómo afectó la explotación de KelpDAO a los mercados de garantías?

La explotación aumentó las dudas sobre la confiabilidad de rsETH como garantía. En DeFi, la garantía no necesita colapsar por completo para causar daño; solo necesita volverse lo suficientemente incierta como para que los prestamistas, prestatarios y participantes en la gobernanza comiencen a reducir su exposición, ajustar los parámetros de riesgo o dejar de usarla con la misma confianza que antes.

5. ¿Por qué es importante rsETH en esta historia?

rsETH no era solo un token dentro de un solo protocolo. Ya se había convertido en parte de sistemas más amplios de préstamos y apalancamiento DeFi. Eso lo hacía importante, porque una vez que la confianza en rsETH se debilitó, los efectos pudieron extenderse a otros mercados que dependían de él como garantía y liquidez.

6. ¿Esto significa que los tokens de restaking líquido no son seguros?

No necesariamente. La lección principal no es que todos los tokens de restaking líquido sean inseguros. La lección es que el mercado probablemente los evaluará con más cuidado ahora. El diseño del protocolo, la transparencia de las reservas, la configuración de los verificadores, los controles de emergencia y el riesgo de integración importan más tras una explotación como esta.

7. ¿Por qué las auditorías no son suficientes en casos como este?

Las auditorías pueden reducir algunos riesgos técnicos, pero no eliminan todas las vulnerabilidades. Los activos DeFi que dependen de actualizaciones, puentes o infraestructura de múltiples capas aún presentan riesgos operativos y sistémicos. Un protocolo puede estar auditado y aún enfrentar problemas graves si una suposición crítica falla bajo estrés.

8. ¿Cuál es la principal lección del exploit de KelpDAO?

La principal conclusión es que DeFi está madurando en cómo valora el riesgo. El crecimiento, el TVL y las integraciones ya no son suficientes para garantizar confianza. Los mercados están comenzando a recompensar la resiliencia, la transparencia y controles de riesgo más sólidos por encima del impulso narrativo puro o la eficiencia de capital solas.

 

Descargo de responsabilidad: La información de este artículo se proporciona únicamente con fines informativos generales y no constituye asesoramiento de inversión, asesoramiento financiero ni una recomendación para comprar, vender o mantener ningún activo digital. Los activos cripto implican riesgos y pueden no ser adecuados para todos los usuarios. Los lectores deben verificar independientemente toda la información, evaluar su propia tolerancia al riesgo y consultar a profesionales calificados cuando sea apropiado antes de tomar cualquier decisión financiera.

Aviso: Esta página fue traducida utilizando tecnología de IA (impulsada por GPT) para tu conveniencia. Para obtener la información más precisa, consulta la versión original en inglés.