KelpDAO sufre un hackeo de 292 millones de dólares; Aave registra retiradas por más de 5.400 millones en plena crisis de seguridad DeFi

Según BlockBeats, el 19 de abril, la plataforma multichain de liquid staking KelpDAO fue atacada de madrugada. El atacante retiró 116.500 rsETH del puente cross-chain de KelpDAO basado en LayerZero, por un valor aproximado de 292 millones de dólares, el mayor incidente de seguridad en DeFi en lo que va de 2026. Unos 46 minutos después, KelpDAO reaccionó suspendiendo de forma urgente su multisig y congelando componentes clave, incluidos los pools de depósito de LRT, los contratos de retirada, los oráculos y el token rsETH. La firma indicó que detectó actividad anómala de rsETH entre cadenas, detuvo los contratos relacionados en mainnet y en varias L2, y trabaja con LayerZero y otros equipos para identificar la causa raíz. Dos intentos posteriores de retirada por parte del atacante fracasaron gracias a las medidas de suspensión, que evitaron nuevas pérdidas. El hacker trató de mover otros 40.000 rsETH (unos 100 millones de dólares); de haberlo logrado, el daño total podría haber escalado hasta alrededor de 391 millones. Tras el robo, el atacante recurrió rápidamente al endeudamiento en varios protocolos de lending —Aave, Compound, Euler y Fluid—, lo que provocó deuda incobrable en varias plataformas. En Aave se estima un agujero de unos 177 millones de dólares; en Compound, de aproximadamente 39,4 millones; y en Euler, de alrededor de 840.000 dólares. Aave fue el más impactado: comunicó que ha congelado los mercados de rsETH en V3 y V4 y subrayó que el problema está ligado al activo rsETH, no a una vulnerabilidad en los smart contracts del protocolo. Aave está evaluando las posiciones de préstamo abiertas tras el incidente y afirmó que, si se materializa deuda incobrable, "explorará vías para cubrir el déficit". El atacante depositó la mayor parte del rsETH robado en Aave como colateral para pedir prestado ETH, mientras que una porción menor se vendió directamente por ETH. Entre la colateralización y las ventas, el hacker acumuló un total de 106.466 ETH, equivalentes a unos 250 millones de dólares. La presión de riesgo desencadenó retiradas urgentes por más de 5.400 millones de dólares en Aave, después de que el atacante pidiera grandes cantidades de ETH usando como colateral rsETH acuñado de forma ilícita. Entre los movimientos destacados, Justin Sun retiró 65.584 ETH (154 millones de dólares). La tasa de utilización de ETH en Aave llegó temporalmente al 100%. Michael Egorov, fundador de Curve, señaló: "Este evento pone de relieve los riesgos del modelo de 'préstamo no aislado', ampliamente adoptado. Aunque ofrece gran escalabilidad, conlleva más riesgo, por lo que la gestión del riesgo es esencial. El modelo hub-and-spoke de Aave v4 puede ser un paso hacia un enfoque semiaisolado y más seguro". El KOL cripto benmo.eth afirmó que el robo de rsETH en KelpDAO tiene implicaciones de gran alcance, al romper la percepción de invulnerabilidad de Aave y empujar a grandes ballenas a reevaluar el riesgo del mercado de lending unificado. En su opinión, Aave V4 y el lending modular podrían convertirse en la próxima tendencia y acelerar la transición. También anticipó que DeFi pasará de priorizar la expansión a un modelo de seguridad más conservador, con mayor foco en amenazas impulsadas por IA, como Anthropic Mythos. Por su parte, Ryan Sean Adams, cofundador de Bankless, escribió: "La frecuencia de los hackeos cripto ha alcanzado un máximo histórico. Creo que está relacionado con la IA. La IA está dando a los hackers 'superpoderes oscuros'. Las defensas deben ponerse al día cuanto antes: se nos acaba el tiempo".