Un exploit de aproximadamente $292 millones durante el fin de semana ha sacudido la industria cripto, exponiendo vulnerabilidades en la infraestructura de finanzas descentralizadas (DeFi) y generando preocupaciones sobre efectos secundarios en los protocolos de préstamo.
Mientras las investigaciones aún están en curso, un análisis inicial sugiere que el ataque se centró en el token rsETH de Kelp — una versión generadora de rendimiento del ether (ETH) — y en el mecanismo utilizado para mover activos entre cadenas de bloques.
El atacante parece haber manipulado ese sistema para crear grandes cantidades de tokens sin respaldo adecuado, y luego los utilizó rápidamente como garantía para tomar prestado y extraer activos reales de los mercados de préstamos, principalmente de Aave AAVE$90.11, el mayor prestamista descentralizado de criptoactivos.
El incidente es el último golpe para DeFi, ocurriendo apenas unas semanas después del exploit de $285 millones del protocolo basado en Solana, Drift, dañando aún más la confianza de los inversores en el sector cripto de casi $90 mil millones.
A un nivel general, la explotación atacó un componente del puente LayerZero, una pieza de infraestructura que permite el movimiento de activos entre diferentes cadenas de bloques, dijo Charles Guillemet, CTO del fabricante de monederos hardware Ledger, a CoinDesk en una nota.
Los puentes generalmente funcionan bloqueando activos en una cadena y acuñando tokens equivalentes en otra. Ese proceso depende de una entidad de confianza —a menudo llamada oracle o validador— para confirmar los depósitos.
En este caso, Kelp actuó efectivamente como ese verificador. Según Guillemet, el sistema dependía de una configuración de un solo firmante, lo que significaba que solo una entidad podía aprobar cualquier transacción.
“Parece que el atacante pudo firmar un mensaje... permitiéndole acuñar una gran cantidad de rsETH,” dijo. Añadió que aún no está claro cómo se obtuvo ese acceso.
Michael Egorov, fundador de Curve Finance, pointed a la misma debilidad en la configuración del sistema.
Las cosas pueden suceder cuando confías en una sola parte — quienquiera que sea.
Esa configuración permitió al atacante crear efectivamente tokens no respaldados, aunque no se bloquearon activos correspondientes en la cadena de origen.
Una vez acuñados, los tokens se implementaron rápidamente. El atacante "los depositó inmediatamente en protocolos de préstamo, principalmente Aave, para tomar prestado ETH real en contra", explicó Guillemet.
Esa maniobra trasladó el problema de una sola explotación a un asunto más amplio del mercado. Las plataformas de préstamos DeFi ahora se quedan con colaterales que pueden ser difíciles de deshacer, mientras que los activos valiosos y líquidos ya han sido agotados.
"Aave se quedó con rsETH, que no se puede vender realmente, y ETH maxborrowed, por lo que nadie puede retirar ETH," dijo Egorov de Curve.
Como resultado, Aave y otros protocolos de préstamo podrían estar teniendo cientos de millones de dólares en colateral cuestionable y deuda morosa, advirtió, generando preocupaciones sobre una posible dinámica de "corrida bancaria" mientras los usuarios se apresuran a retirar fondos.
Aave registró una caída de aproximadamente $6 mil millones en activos en el protocolo mientras los usuarios retiraban sus activos tras el incidente. El token asociado con el protocolo bajó aproximadamente un 15% durante las operaciones de las últimas 24 horas.
Sigue sin resolverse cómo se comprometió el validador. El sistema dependía del nodo oficial de LayerZero, lo que genera incertidumbre sobre si fue hackeado, mal configurado o engañado.
"Fue hackeado? Fue engañado? No lo sabemos," dijo Egorov.
La identidad del atacante también es desconocida, aunque Guillemet dijo que la magnitud del ataque sugiere un actor sofisticado.
"Claramente no son algunos script kiddies," dijo.
Más allá de las pérdidas inmediatas, este incidente sirve como otro recordatorio de que, a medida que DeFi se vuelve más interconectado, los fallos en una capa pueden propagarse rápidamente por todo el sistema.
Egorov argumentó que los modelos de préstamo no aislados, donde los activos comparten riesgo entre piscinas, amplifican el impacto de tales eventos.
También señaló deficiencias en la forma en que se incorporan nuevos activos a las plataformas de préstamos, diciendo que configuraciones como la configuración de verificador 1 de 1 de Kelp deberían haberse detectado antes.
Sin embargo, Egorov dijo que hay un lado positivo. "El cripto es un entorno duro del que ningún banco habría sobrevivido —sin embargo, estamos trabajando con eso", dijo. "Creo que DeFi aprenderá de este incidente y se volverá más fuerte que antes."
Aún así, incluso cuando incidentes como este llevan a actualizaciones y rediseños del protocolo, también van minando la confianza de los inversores en el sector DeFi en general.
"En general, la confianza en los protocolos DeFi se ve erosionada por este tipo de evento," dijo Guillemet.
"Y 2026 será probablemente el peor año en términos de hackeos, otra vez," añadió.