Mientras todos estaban atentos a los titulares de Hormuz este fin de semana, DeFi sufrió su peor explotación de 2026.
Un atacante drenó 116,500 rsETH — aproximadamente el 18% del suministro en circulación y aproximadamente $292 millones en valor — del puente impulsado por LayerZero de Kelp el sábado, provocando congelaciones de emergencia en Aave, SparkLend, Fluid y Upshift. El ether envuelto quedó varado en 20 cadenas a medida que el ataque se propagaba a través de la infraestructura de cadena cruzada.
Desglosemos lo que realmente sucedió, porque la mecánica importa.
Kelp DAO es un protocolo de re-staking líquido construido sobre Ethereum. Los usuarios depositan ETH o tokens de staking líquido, reciben rsETH a cambio y pueden usar ese rsETH en distintos protocolos de DeFi como garantía o para obtener rendimientos. El protocolo utiliza LayerZero — la infraestructura líder de mensajería entre cadenas — para hacer que el rsETH sea utilizable en múltiples blockchains simultáneamente.
Esa funcionalidad entre cadenas fue el vector del ataque. El atacante explotó una vulnerabilidad en la forma en que el puente de LayerZero de Kelp validaba los saldos de activos entre cadenas, lo que le permitió acuñar rsETH en las cadenas de destino sin un depósito correspondiente en la cadena de origen. En términos simples: crearon rsETH de la nada y luego lo usaron para drenar activos reales de los protocolos conectados.
La escala del contagio es lo que lo vuelve especialmente alarmante. Como rsETH se integró como garantía en múltiples protocolos DeFi de primera categoría, la respuesta de emergencia requirió congelamientos simultáneos en Aave, SparkLend, Fluid y Upshift — impidiendo nuevos préstamos contra posiciones de rsETH mientras los equipos evaluaban la exposición. Los usuarios que tenían posiciones legítimas de rsETH como garantía se encontraron temporalmente incapaces de interactuar con sus posiciones durante el periodo de congelamiento.
Los exploits de puentes entre cadenas han sido la principal fuente de pérdidas en DeFi durante tres años consecutivos. Ronin ($625M, 2022), Wormhole ($320M, 2022), Nomad ($190M, 2022). El patrón es consistente: la complejidad crea una superficie de ataque, y la complejidad de los puentes es la más alta en DeFi.
Esto no significa que la infraestructura entre cadenas sea irreparable. Pero sí significa que cada vez que puenteas un activo o usas un protocolo entre cadenas, estás confiando en código que históricamente ha sido la categoría más vulnerable de las criptomonedas. Las auditorías de seguridad, el TVL, la reputación del equipo: ninguno de esos elementos ha evitado de forma consistente estos eventos.
La pregunta incómoda para la industria: ¿en qué momento la composabilidad que hace poderosa a DeFi se convierte en el riesgo sistémico que la vuelve frágil? Esa pregunta aún no tiene una respuesta clara. Pero el $292M de Kelp DAO la hizo más ruidosa.
