Un exploit de $292 millones en KelpDAO desató una retirada generalizada en la finanza descentralizada durante el fin de semana, drenando aproximadamente $10 mil millones en toda la industria DeFi y obligando a múltiples protocolos a congelar mercados vinculados a rsETH.
La brecha comenzó el sábado por la noche, cuando un atacante vació aproximadamente 116.500 rsETH del puente multicanal de KelpDAO. Los tokens robados valían aproximadamente $292 millones en ese momento, según los datos de CryptoSlate.
KelpDAO emite rsETH a los usuarios que depositan ETH en su sistema de restaking líquido. La plataforma luego despliega esos ETH a través de la plataforma de restaking EigenLayer para generar rendimientos adicionales sobre los rendimientos estándar de staking.
La pérdida de KelpDAO ahora es el mayor exploit DeFi de 2026 en el informe, superando los ataques anteriores este año.
Cómo KelpDAO fue explotado por $292 millones
rsETH circula en el mercado en general a través de LayerZero, una red de mensajería entre cadenas que mueve instrucciones y activos entre cadenas de bloques.
El desarrollador principal de Yearn Finance, Banteg, explicó que la explotación afectó la ruta que conecta Unichain con la mainnet de ethereum.
Según el analista on-chain, el atacante envió un mensaje fraudulento que el sistema aceptó como válido, lo que provocó que el adaptador del lado Ethereum liberara reservas de rsETH prefinanciadas.
Esta ruta se configuró como una ruta de red de verificadores descentralizados uno-a-uno sin verificadores secundarios que pudieran haber marcado la transacción.
Banteng afirmó que la transacción maliciosa, identificada como nonce 308, fue verificada y entregada a las 17:35 UTC.
Tras el ataque, el monedero de firma múltiple de emergencia de KelpDAO congeló los contratos principales del protocolo. Esto bloqueó dos intentos adicionales que, juntos, podrían haber retirado otros aproximadamente 100 millones de dólares en rsETH.
Los fondos robados inicialmente fueron transferidos a través de Tornado Cash, ocultando la pista antes de que la respuesta del protocolo pudiera contener el daño.
Mientras tanto, el rsETH envuelto respaldado por reservas agotadas se circuló en redes secundarias, incluyendo Base, Arbitrum, Linea, Blast, Mantle y Scroll. Una vez agotadas esas reservas, los usuarios que tenían rsETH fuera de Ethereum enfrentaron creciente incertidumbre sobre la redención y el respaldo.
Y esa presión se transmitió rápidamente al resto del mercado.
Aave sufre el golpe más fuerte
El réplica más grave afectó Aave, la plataforma de préstamo de criptomonedas más grande, donde se supone que el atacante depositó el rsETH robado como garantía.
Durante la ventana de ataque, los oráculos de precios de Aave continuaron leyendo rsETH cerca de su paridad normal, permitiendo que el protocolo emitiera 106.467 ETH contra la garantía comprometida.
Eso dejó a la plataforma enfrentando una posible exposición a deudas malas de $236 millones y desencadenó una carrera por salir.
Datos de DeFiLlama mostraron que el valor total bloqueado de Aave disminuyó de más de $26 mil millones a aproximadamente $20 mil millones mientras los usuarios retiraban fondos.
La caída se convirtió en uno de los retrocesos más pronunciados en la plataforma en la memoria reciente y transformó una explotación de puente en un evento de liquidez para el mayor lugar de préstamos en DeFi.
Los analistas on-chain revelaron que los grandes tenedores de ETH en la plataforma DeFi aceleraron el movimiento.
Para contexto, el fundador de TRON, Justin Sunsegún se informa retiró más de 65.580 ETH, valorados en aproximadamente $154 millones, en una sola transacción.
A medida que aumentaban este tipo de retiros, la tasa de utilización de ETH de Aave alcanzó el 100%, dejando todo el Ether disponible en la plataforma ya sea prestado o retirado.
Mientras tanto, la presión también se extendió al precio de mercado de Aave. El token de gobernanza AAVE cayó más del 18% mientras los operadores incorporaban la posibilidad de pérdidas más profundas.
Esto se exacerbó por fuertes ventas de grandes monederos de AAVE. La plataforma de análisis blockchain Lookonchain reported que una entidad identificada como smaugvision vendió más de 20,000 AAVE por $2.06 millones, mientras que otro inversor vendió una cantidad similar por $2.05 millones. Un tercer ballena vendió casi 19,700 AAVE a cambio de bitcoin envuelto y ETH.
En respuesta a estos problemas, Aave congeló los mercados de rsETH tanto en V3 como en V4. El fundador de la plataforma Stani Kulechovdeclaró en X:
rsETH ha sido congelado en Aave V3 y V4; el activo no tiene poder de préstamo como medida debido al exploit del puente de KelpDAO que ocurrió fuera de Aave. Tanto Aave V3 como V4 no tienen más exposición a rsETH.
La contaminación se extiende por DeFi
Además de Aave, otros protocolos DeFi también experimentaron retiros significativos de su plataforma debido al ataque.
0xngmi, el fundador pseudónimo de DeFiLlama, informó que el incidente provocó una caída de $10 mil millones en todo el sector DeFi. Esto incluye la salida de $6 mil millones de Aave.
Cabe destacar que los datos de DeFiLlama muestran que el TVL de los protocolos DeFi ha disminuido un 10 %, de aproximadamente $99 mil millones el 18 de abril a $89 mil millones al momento de la publicación.
Mientras tanto, el incidente también ha llevado a varias plataformas DeFi a actuar rápidamente para reducir su exposición al token rsETH.
El analista de DeFi Ignas flagged ocho protocolos DeFi adicionales, incluyendo Lido, SparkLend, Fluid, Compound y Euler, que congelaron sus mercados de préstamos de rsETH.
Él añadió:
Supongo que LayerZero también probablemente esté afectada, ya que rsETH fueron puenteados desde L2, así que me pregunto si esos rsETH en L2 no serán inútiles ahora mismo.
Mientras tanto, Ethena, el desarrollador del dólar sintético USDe, suspendió temporalmente sus puentes LayerZero como medida de precaución, mientras afirmaba que no tenía exposición a rsETH.
Esos movimientos reflejaron cuán ampliamente rsETH estaba integrado en DeFi, ya que se utilizaba profundamente en mercados de préstamos, productos de vault y estrategias de colateral que dependían de transferencias cruzadas fluidas y la confianza en el respaldo de reservas.
A medida que esa confianza se debilitó, los protocolos pasaron a delimitar el riesgo antes de que retiradas adicionales o desplazamientos de precios pudieran agravar el daño.
La tensión también puso de manifiesto la velocidad con la que puede moverse el capital una vez que la calidad de la garantía entra en duda. Un bridge exploit en un solo lugar fue suficiente para generar ondas de choque en múltiples mercados en cuestión de horas, obligando a las plataformas a suspender actividades incluso cuando sus propios contratos no habían sido violados directamente.
La comunidad cripto pide una solución para los ataques a puentes DeFi
Jonathan Man, director de Soluciones Multiestrategia y Estrategias DeFi en Bitwise, dijo:
Este es otro revés, pero podemos recuperarnos más fuertes. Como industria, necesitamos elevar colectivamente nuestro nivel para asegurarnos de que estamos construyendo el futuro de las finanzas sobre cimientos sólidos.
Mientras tanto, la explotación de KelpDAO también generó una discusión más amplia sobre cómo los protocolos de préstamo y los emisores de tokens pueden limitar los daños causados por ataques dirigidos a activos puente o con bajo volumen de negociación.
Keone Hon, cofundador de Monad, dijo que los protocolos de préstamos agrupados deberían considerar imponer límites de tasa sobre la velocidad con la que un activo puede depositarse y usarse como garantía.
Bajo ese modelo, un activo con una oferta circulante actual de 100 millones de dólares y un límite formal de 300 millones de dólares no podría saltar directamente al límite completo en un solo impulso. En su lugar, la oferta permitida dentro del sistema aumentaría gradualmente durante un período establecido, como 10 minutos o algunas horas.
Hon dijo que ese enfoque reduciría las rutas de salida disponibles cuando se explota un activo exótico, especialmente en casos que involucran errores de acuñación infinita.
Argumentó que el tamaño de la pérdida a menudo se determina menos por la propia emisión que por la cantidad del activo comprometido que se puede vender en plataformas de préstamos u otros salidas líquidas antes de que los mercados reaccionen.
En ese marco, los grandes protocolos de préstamo se convierten en las principales válvulas de escape porque la liquidez de los exchanges descentralizados a menudo es demasiado limitada para absorber una vulnerabilidad importante.
Él añadió que los emisores de activos también deberían tener interés en límites más estrictos, especialmente cuando emiten tokens de recibo con redención diferida. En esos casos, el emisor no necesariamente está expuesto a presión inmediata de redención por parte de un atacante, pero aún se beneficia cuando las rutas de salida posteriores permanecen restringidas.
Hon señaló el exploit de Hyperbridge DOT y el incidente de Resolv como ejemplos en los que las pérdidas se mantuvieron por debajo de niveles más catastróficos porque las rutas disponibles para salir del activo comprometido eran limitadas.
Guy Young, fundador de Ethena, respaldó esa visión y dijo que los emisores deberían considerar agregar límites de tasa en la capa de emisión y redención, así como throttles personalizados sobre el estándar OFT de LayerZero.
La publicación Los usuarios de DeFi retiran $10 mil millones del mercado mientras una explotación de $292 millones genera una apariencia de corrida bancaria apareció por primera vez en CryptoSlate.