DAOs

Aave enfrenta uno de los episodios de riesgo más delicados de su historia reciente tras el exploit que afectó a rsETH de Kelp DAO. El incidente dejó al protocolo expuesto a colateral sin respaldo, con un posible impacto de entre USD $123 millones y USD $230 millones, mientras usuarios retiraron cerca de USD $6.000 millones ante la incertidumbre.***

• Un atacante creó rsETH sin respaldo mediante un fallo en la verificación de mensajes entre cadenas y luego lo usó como colateral en Aave.

• Aave estima pérdidas de alrededor de USD $123 millones o hasta USD $230 millones, según cómo Kelp DAO distribuya el déficit.

• Tras el incidente, el protocolo congeló mercados de rsETH y vio salidas por cerca de USD $6.000 millones en valor total bloqueado.

🚨 Aave en crisis: riesgo de hasta USD $230 millones tras exploit de Kelp DAO

Un atacante creó rsETH sin respaldo y lo usó como colateral en Aave.

Pérdidas estimadas entre USD $123 millones y USD $230 millones.

Retiradas de USD $6,000 millones en valor total bloqueado.

El… pic.twitter.com/YzgZDApAll

— Diario฿itcoin (@DiarioBitcoin) April 21, 2026

Aave podría enfrentar pérdidas de hasta USD $230 millones después del exploit que afectó a rsETH, un token líquido de restaking emitido por Kelp DAO, y que terminó sacudiendo a varios segmentos del ecosistema DeFi. El episodio dejó en evidencia cómo un problema en infraestructura entre cadenas puede propagarse rápidamente hacia protocolos de préstamos con fuerte exposición a colateral externo.

De acuerdo con un informe elaborado por Aave Labs y el proveedor de servicios LlamaRisk, publicado en el foro de gobernanza del protocolo, el incidente permitió la creación de colateral sin respaldo que luego fue usado para pedir prestados cerca de USD $190 millones en ETH y activos relacionados. Aunque Aave aseguró que sus sistemas operaron según lo previsto, el protocolo quedó expuesto a una posible deuda incobrable de gran escala, reseña CoinDesk.

El resultado final dependerá de cómo Kelp DAO decida asignar el déficit derivado del exploit. El informe plantea dos escenarios principales. En el más moderado, si las pérdidas se socializan entre todos los holders de rsETH, Aave enfrentaría alrededor de USD $123 millones a USD $124 millones en pérdidas. En el escenario más severo, si el daño se limita a redes de Capa 2, la exposición podría subir hasta cerca de USD $230 millones.

Para quienes no siguen de cerca este tipo de infraestructura, los puentes entre cadenas permiten mover activos de una blockchain a otra bloqueando tokens en una red y emitiendo representaciones equivalentes en otra. Esa arquitectura es útil para expandir liquidez, pero también introduce riesgos adicionales. Cuando falla la verificación de mensajes, un sistema puede llegar a aceptar activos que parecen válidos, aunque en realidad carezcan de respaldo suficiente.

Cómo ocurrió el exploit y por qué Aave quedó expuesto

Según el reporte, el incidente se centró en el mecanismo que Kelp DAO usaba para mover rsETH entre blockchains. El atacante falsificó un mensaje de transferencia que parecía legítimo. El sistema aprobó esa transferencia pese a que los tokens nunca fueron retirados de la cadena de origen, lo que en la práctica permitió crear nuevas unidades sin respaldo real.

Ese proceso liberó 116.500 rsETH del lado de Ethereum del puente. En vez de vender los activos en el mercado abierto, el atacante optó por una estrategia más dañina para el ecosistema crediticio. Depositó 89.567 rsETH en Aave como colateral y usó esa posición para pedir prestados aproximadamente USD $190 millones en ETH y activos vinculados, tanto en Ethereum como en Arbitrum.

El riesgo para Aave no provino de una falla propia de su motor de préstamos, sino de haber aceptado como garantía un activo cuyo respaldo quedó en duda tras el exploit. Ese matiz es importante. El protocolo siguió sus reglas normales de valoración y préstamo, pero dichas reglas partían de la premisa de que rsETH estaba correctamente respaldado, una suposición que dejó de ser confiable después del ataque.

El informe también indicó que surgieron preocupaciones sobre posiciones respaldadas por colateral mal valorado o potencialmente no totalmente cubierto. En ecosistemas DeFi interconectados, ese tipo de deterioro no solo amenaza una plataforma, sino que eleva la percepción de riesgo sobre la infraestructura entera, sobre todo cuando hay dependencia de puentes y sistemas externos de mensajería entre cadenas.

Los dos escenarios de pérdidas que estudia Aave

Aave detalló dos posibles desenlaces financieros. El primero supone que las pérdidas del exploit se distribuyan entre todos los holders de rsETH. En ese caso, el token sufriría un desacople estimado de 15%, es decir, el valor de los tokens en staking ya no reflejaría completamente el ETH subyacente. Bajo esa hipótesis, la deuda incobrable para Aave rondaría USD $123 millones o USD $124 millones, según la estimación citada en el reporte.

El segundo escenario es bastante más agresivo. Si Kelp DAO decide aislar las pérdidas en las redes de Capa 2, el impacto sobre Aave subiría hasta aproximadamente USD $230 millones. El daño se concentraría sobre todo en redes como Arbitrum y Mantle, donde la exposición al colateral afectado sería mayor y, por tanto, más difícil de absorber sin consecuencias notables.

La diferencia entre ambos casos no es menor. Socializar el déficit entre todos los rsETH reparte el golpe de forma más amplia, aunque también castiga a usuarios que no participaron en la maniobra maliciosa. Aislarlo en ciertas redes puede proteger a algunos segmentos, pero intensifica las pérdidas donde el activo comprometido tuvo mayor circulación o uso como garantía.

Hasta ahora, Kelp DAO no ha explicado de qué manera piensa distribuir esas pérdidas. Esa ausencia de definiciones mantiene abierta la incertidumbre sobre el daño final que deberá asumir Aave. El punto no es solo contable. También influye sobre la confianza del mercado y sobre la velocidad con que usuarios e instituciones decidan volver a interactuar con los mercados afectados.

Respuesta de emergencia y salida masiva de capital

Aave Labs afirmó que reaccionó con rapidez para contener el riesgo. En cuestión de horas, el protocolo congeló los mercados de rsETH en todas sus implementaciones, fijó en cero las relaciones préstamo-valor para ese activo y detuvo nuevos préstamos respaldados con dicho token. Con ello buscó evitar que la exposición siguiera creciendo mientras se evaluaba el alcance real del problema.

La reacción de los usuarios fue inmediata. Cerca de USD $6.000 millones en valor total bloqueado salieron de Aave tras conocerse el incidente. Esa retirada masiva reflejó un movimiento defensivo por parte de participantes que prefirieron reducir exposición mientras no existiera claridad suficiente sobre la magnitud del agujero potencial y sobre la solvencia de las posiciones vinculadas a rsETH.

Ese tipo de salida no necesariamente implica una falla estructural irreversible en Aave, pero sí muestra cuán sensible es DeFi a episodios de incertidumbre. Cuando el mercado percibe que el colateral puede estar deteriorado o que la contabilidad de respaldo ya no es totalmente confiable, la prioridad pasa a ser liquidez y resguardo, no rendimiento.

El episodio también destacó la exposición indirecta del protocolo a sistemas externos. En otras palabras, Aave no solo debe gestionar el riesgo propio de su arquitectura, sino también el derivado de activos integrados, puentes, oráculos y capas de mensajería. Esa dependencia es una fortaleza en términos de interoperabilidad, pero puede convertirse en un canal de contagio cuando un eslabón falla.

LayerZero, Kelp DAO y las implicaciones para DeFi

El exploit surgió a partir de debilidades en la forma en que Kelp verificaba mensajes entre cadenas utilizando LayerZero. El reporte subraya que LayerZero no fue hackeado directamente. Sin embargo, su capa de mensajería dejó expuestos supuestos defectuosos en la implementación de validación que usaba Kelp DAO, lo que abrió la puerta para que el atacante hiciera pasar ciertos activos como plenamente respaldados cuando no lo estaban.

Ese detalle es clave porque desplaza parte de la discusión desde el software base hacia la integración concreta entre protocolos. En DeFi, una herramienta puede no estar comprometida de forma directa y aun así convertirse en el vehículo mediante el cual afloran malas configuraciones, controles insuficientes o validaciones incompletas en aplicaciones construidas sobre ella.

Más allá de las cifras inmediatas, el caso reaviva un debate conocido en la industria: la fragilidad de los sistemas de puentes entre cadenas. Estas soluciones son esenciales para escalar liquidez y utilidad entre redes, pero suelen ser uno de los puntos con mayor superficie de ataque. Cada mensaje falsificado o verificación defectuosa puede traducirse no solo en pérdidas directas, sino en un deterioro de confianza que golpea a múltiples protocolos al mismo tiempo.

El informe también señaló que la tesorería de la DAO de Aave posee aproximadamente USD $181 millones en activos y que continúan las conversaciones con participantes del ecosistema para abordar las posibles pérdidas. Esa cifra da una referencia sobre la capacidad de respuesta del protocolo, aunque no resuelve por sí sola un impacto potencial que, en el peor escenario planteado, superaría ampliamente ese monto.

Según informó CoinDesk, la situación sigue en desarrollo y el desenlace dependerá de decisiones aún no anunciadas por Kelp DAO. Por ahora, el caso deja una señal de alerta para todo el ecosistema DeFi: incluso cuando un protocolo actúa rápido y sus mecanismos internos funcionan como fueron diseñados, la dependencia de infraestructura externa puede convertir un exploit ajeno en una amenaza sistémica de gran magnitud.

Imagen original de , creada con inteligencia artificial, de uso libre, licenciada bajo Dominio Público

Este artículo fue escrito por un redactor de contenido de IA

Kelp DAO prepara una dura respuesta contra LayerZero tras el exploit de rsETH que drenó cerca de USD $290 millones. El protocolo sostiene que la falla no provino de una decisión aislada de su equipo, sino de la infraestructura, documentación y configuraciones predeterminadas promovidas por LayerZero.

***

• Kelp DAO afirma que el verificador comprometido formaba parte de la propia infraestructura operada por LayerZero.

• La disputa gira en torno al uso de una configuración DVN 1/1, que LayerZero ahora critica pero que, según Kelp, figuraba como opción predeterminada.

• Investigadores y figuras del sector cuestionan la versión de LayerZero y advierten sobre riesgos más amplios en la seguridad cross-chain.

🚨 Kelp DAO señala a LayerZero como responsable del exploit de rsETH

Casi USD $290 millones fueron drenados del puente de Kelp.

Kelp argumenta que la falla estuvo en la infraestructura y configuraciones predeterminadas de LayerZero.

El incidente ha generado preocupación sobre… pic.twitter.com/RP8FQuMKdO

— Diario฿itcoin (@DiarioBitcoin) April 20, 2026

La disputa por el exploit de rsETH que dejó pérdidas cercanas a USD $290 millones ha escalado con rapidez.

Según información reportada por CoinDesk, el equipo de Kelp DAO está preparándose para publicar un memorando en el que rechaza la versión ofrecida por LayerZero y sostiene que el fallo estuvo vinculado a la propia infraestructura del proveedor de mensajería cross-chain, así como a sus configuraciones predeterminadas y su documentación de incorporación.

“EXCLUSIVA: Kelp DAO está preparando un memorando que culpa a LayerZero por la explotación de rsETH de 292 millones de dólares del sábado, afirmando que se basó en la documentación de LayerZero, configuraciones predeterminadas y orientación del equipo al configurar el puente“, escribió CoinDesk en una publicación en X asegurando la revisión de dicho memorando.

SCOOP: Kelp DAO is preparing a memo blaming LayerZero for Saturday’s $292 million rsETH exploit, saying it relied on LayerZero’s documentation, default configurations and team guidance when setting up the bridge.

CoinDesk has reviewed the memo ahead of publication. pic.twitter.com/nBX2CzuViR

— CoinDesk (@CoinDesk) April 20, 2026

Kelp DAO niega haber adoptado una arquitectura excepcional o contraria a recomendaciones claras. La organización sostiene que la configuración que hoy es cuestionada por LayerZero era, en la práctica, la opción promovida durante el despliegue de integraciones.

El caso ha captado atención en todo el ecosistema DeFi porque expone un problema más amplio. Cuando un protocolo se apoya en infraestructura externa para mover activos entre redes, la línea entre responsabilidad técnica, diseño por defecto y operación real puede volverse difusa, especialmente después de un incidente de esta magnitud.

Kelp es un protocolo de re-staking líquido. Su modelo toma Ether (ETH) depositado por usuarios, lo canaliza hacia EigenLayer para generar rendimiento y, a cambio, emite rsETH como token recibo. LayerZero, por su parte, es la capa de mensajería cross-chain que permite mover ese activo entre distintas redes Blockchain mediante redes de verificación descentralizada, conocidas como DVN.

Qué ocurrió en el exploit de rsETH

El sábado, atacantes drenaron 116.500 rsETH, valorados en alrededor de USD $290 millones, desde el puente de Kelp impulsado por LayerZero. De acuerdo con la versión que Kelp prepara para difundir, el ataque se ejecutó tras comprometer servidores utilizados por el verificador de LayerZero para comprobar la legitimidad de transacciones entre cadenas.

La fuente citada en la cobertura indicó que dos servidores de LayerZero fueron comprometidos. Luego, los atacantes habrían inundado con tráfico basura a los servidores de respaldo, forzando al verificador a operar sobre nodos ya comprometidos. Bajo esa lectura, el punto crítico de la intrusión no habría sido un componente operado por Kelp, sino infraestructura construida y administrada por LayerZero.

Kelp también afirma que el incidente quedó limitado a la capa del puente. Según esa versión, los contratos centrales de restaking no fueron afectados. La organización añadió que activó una pausa de emergencia 46 minutos después del drenaje, una medida que habría bloqueado dos intentos posteriores capaces de liberar aproximadamente otros USD $200.000.000 en rsETH.

La gravedad del episodio ha sido reforzada por otro elemento delicado. Kelp describe el ataque como un “sofisticado ataque patrocinado por un Estado”, aunque en la información disponible no se ofrecen pruebas públicas adicionales que permitan verificar esa atribución por ahora.

El centro de la disputa: la configuración DVN 1/1

El corazón del conflicto está en la llamada configuración 1/1 de DVN. En términos simples, eso significa que un solo verificador debe aprobar un mensaje cross-chain para que el puente lo ejecute. Esa estructura elimina una segunda comprobación independiente y deja al sistema expuesto a un único punto de fallo.

LayerZero había presentado esa configuración como una decisión de Kelp adoptada pese a recomendaciones previas para migrar a esquemas con redundancia, como 2/3 o 3/5. En esos modelos, varios verificadores deben coincidir antes de validar una transferencia, lo que reduce la posibilidad de que una sola entidad comprometida apruebe un mensaje falso.

Sin embargo, Kelp rechaza esa caracterización. La fuente citada aseguró que, a través de un canal directo con LayerZero abierto desde julio de 2024, nunca se emitió una recomendación específica para que rsETH cambiara su configuración DVN. Además, sostiene que tanto la guía rápida de LayerZero como sus configuraciones de ejemplo en GitHub apuntaban precisamente a esa estructura 1/1.

La discusión es relevante porque cambia el eje del debate. Si una arquitectura insegura era la opción de referencia durante el onboarding, la responsabilidad ya no recaería solo en el integrador final. Pasaría también por el diseño del proveedor, por su documentación pública y por la manera en que orientó a proyectos que dependían de su sistema.

Kelp acusa a LayerZero de desviar la responsabilidad

En su respuesta, Kelp sostiene que LayerZero intentó convertir una práctica ampliamente usada en una excepción atribuible al protocolo afectado. La fuente afirmó que cerca del 40% de los protocolos desplegados sobre LayerZero utilizan actualmente esa misma configuración. Si ese dato es correcto, el problema podría tener implicaciones mucho más amplias para el ecosistema que usa esta infraestructura.

La propia documentación técnica citada en la cobertura refuerza esa tesis. El ejemplo de configuración en el “V2 OApp Quickstart” de LayerZero conecta cada ruta con un DVN requerido y ningún DVN opcional, una estructura que equivale al esquema 1/1 ahora criticado tras el exploit.

Para Kelp, esto prueba que no hubo una desviación deliberada de buenas prácticas, sino una adopción de los parámetros sugeridos por el proveedor. La organización subraya además que su especialidad principal no es la infraestructura de mensajería cross-chain, sino el restaking, la integración con EigenLayer y la administración de tokens de liquid staking.

Ese argumento toca un punto sensible dentro de DeFi. Muchos protocolos se apoyan en proveedores especializados para componentes complejos, como puentes o servicios de mensajería entre cadenas. Cuando ocurre una falla, determinar si el error fue de implementación, de diseño o de operación puede resultar decisivo para la confianza del mercado.

Investigadores y actores del sector cuestionan la narrativa oficial

La respuesta de Kelp ha encontrado eco entre algunos observadores del sector. Artem K, desarrollador del equipo central de Yearn Finance y conocido como @banteg, publicó una revisión técnica del código público de despliegue de LayerZero.

En su análisis, señaló que la configuración de referencia incluía valores predeterminados de verificación de fuente única en cadenas principales como Ethereum, BSC, Polygon, Arbitrum y Optimism.

Ese mismo análisis indicó que el despliegue deja expuesto un endpoint público que filtra la lista de servidores configurados a cualquiera que lo consulte. Aunque Banteg dijo no poder demostrar qué configuración concreta utilizó Kelp, observó que LayerZero suele pedir a los nuevos operadores que usen sus parámetros por defecto, precisamente los que su informe post-mortem terminó cuestionando.

También hubo críticas desde el entorno de Chainlink. Su community manager, Zach Rynes, acusó a LayerZero de estar “desviando la responsabilidad” por infraestructura comprometida bajo su operación y de culpar a Kelp por confiar en una configuración que la misma empresa había respaldado.

Estas reacciones no prueban por sí solas la tesis de Kelp, pero sí muestran que el relato de LayerZero no ha sido aceptado de forma unánime. La controversia se ha trasladado desde el terreno técnico hacia uno reputacional, donde la credibilidad y la consistencia de las prácticas de seguridad pasan a ser tan importantes como los detalles del exploit.

La respuesta de LayerZero y lo que viene para el ecosistema

Como parte de su reacción al incidente, LayerZero dijo que dejará de firmar mensajes para cualquier aplicación que siga operando con una configuración de un solo verificador. Esa decisión forzará una migración en todo el protocolo y sugiere que la firma reconoce ahora el riesgo estructural asociado a ese modelo.

Al momento de la publicación del reporte, LayerZero no había respondido a una solicitud adicional de comentarios. Esa ausencia deja abierta una pregunta crucial: si la configuración 1/1 era tan peligrosa como ahora se presenta, por qué seguía disponible como referencia operativa para integraciones activas en producción.

Más allá de la disputa puntual, el episodio vuelve a poner presión sobre los puentes cross-chain, una de las piezas históricamente más vulnerables del ecosistema cripto. Cada vez que grandes volúmenes de capital dependen de validaciones distribuidas, servidores externos y configuraciones complejas, los errores de diseño pueden convertirse en pérdidas multimillonarias.

Para Kelp DAO, la prioridad inmediata es defender su posición y delimitar el alcance del daño. Para LayerZero, el desafío será responder a las acusaciones sin que la confianza en su red de mensajería se deteriore aún más. En ambos casos, el exploit de rsETH ya dejó una señal difícil de ignorar: en DeFi, los valores predeterminados también pueden ser un riesgo sistémico cuando se usan a gran escala.

Imagen original de , creada con inteligencia artificial, de uso libre, licenciada bajo Dominio Público

Este artículo fue escrito por un redactor de contenido de IA