observatorioblockchain.com
El protocolo de liquid restaking KelpDAO sufre uno de los mayores robos del año en el ecosistema DeFi. Un atacante logró drenar 116.500 rsETH —el token de restaking líquido del protocolo— tras aprovechar una vulnerabilidad en su bridge cross-chain basado en LayerZero. El valor del ataque se estima en unos 292 millones de dólares, lo que representa aproximadamente el 18% del suministro circulante de rsETH, convirtiéndolo en uno de los incidentes más relevantes de 2026 dentro de las finanzas descentralizadas.
El daño en Aave
El hacker explotó una configuración de seguridad defectuosa en el bridge (específicamente un verificador 1-of-1), lo que permitió la creación y extracción de rsETH no respaldados. KelpDAO activó la pausa de emergencia de sus contratos aproximadamente 46 minutos después, evitando que el atacante consiguiera otros 40.000 rsETH adicionales, lo que habría elevado las pérdidas a casi 400 millones de dólares.
Una vez obtenido el rsETH fraudulento, el atacante lo utilizó rápidamente como colateral en varios protocolos de préstamos, principalmente en Aave V3 y V4 (en Ethereum y Arbitrum), así como en Compound, Euler y Fluid. Con este collateral falso, pidió prestados alrededor de 236-250 millones de dólares en $ETH/WETH.
Horas después del incidente, el equipo de Aave hizo publico un comunicado en el que confirmó que los mercados de rsETH en Aave V3 y Aave V4 fueron congelados. «Los contratos de Aave no han sido explotados y esto es un exploit relacionado con rsETH. El congelamiento se debe a un exploit del bridge de rsETH de Kelp DAO. Congelar los mercados de rsETH impide nuevos depósitos y préstamos contra el colateral de rsETH mientras se evalúa la situación. Estamos revisando la información sobre los préstamos de rsETH en Aave que ocurrieron después del exploit y compartiremos más detalles lo antes posible. Si el protocolo acumula deuda incobrable por este incidente, exploraremos vías para compensar el déficit».
5.400 millones de dólares fueron retirados de Aave
El incidente generó un efecto dominó inmediato. Al quedar claro que el rsETH depositado no tenía respaldo real, se crearon deudas incobrables estimadas entre 177 y 200 millones de dólares en el pool de WETH de Aave.
En cuestión de horas, más de 5.400 millones de dólares fueron retirados de Aave por pánico de los usuarios. La tasa de utilización de $ETH en la plataforma llegó al 100% en algunos momentos. Entre los retiros más destacados se encuentra el del fundador de Tron, Justin Sun, quien retiró 65.584 $ETH, unos 154 millones de dólares.
Como consecuencia, el token AAVE cayó más del 18% en las últimas 24 horas. El incidente se convierte en el mayor hack de DeFi registrado en 2026 hasta la fecha y vuelve a poner sobre la mesa los riesgos de los bridges cross-chain y la composabilidad entre protocolos en el ecosistema de restaking líquido.
El robo de KelpDAO se produce pocos días después del ataque sufrido por Drift Protocol, que dejó pérdidas cercanas a los 280 millones de dólares.