Cómo el exploit de KelpDAO en abril de 2026 provocó la mayor crisis de liquidez en Aave
El 18 de abril de 2026 un atacante falsificó un mensaje cross‑chain en el puente LayerZero de KelpDAO y acuñó 116.500 rsETH sin respaldo (≈$292M). Los tokens se depositaron como colateral en Aave V3 para pedir prestado WETH real, dejando entre $177M y $200M en deuda incobrable cuando el colateral perdió respaldo.
What happened in the April 2026 KelpDAO exploit that led Aave to incur major bad debt and lose 44% of its TVL, how did the attackers use stoThe April 2026 KelpDAO exploit showed how vulnerabilities in cross‑chain bridges can cascade into major DeFi lending protocols.
Prompt de IA
Create a landscape editorial hero image for this Studio Global article: What happened in the April 2026 KelpDAO exploit that led Aave to incur major bad debt and lose 44% of its TVL, how did the attackers use sto. Article summary: The April 2026 incident was not an Aave smart-contract hack; it was a KelpDAO rsETH bridge failure that let an attacker create/release unbacked rsETH, then use it as collateral on Aave V3 to borrow real WETH/ETH, leaving. Topic tags: general, general web, user generated. Reference image context from search candidates: Reference image 1: visual subject "# Aave’s TVL Tanks $6.6 Billion as Kelp DAO Hack Sparks Bad Debt and Structural Fears. After the Kelp DAO exploit, the attacker used $292 million in stolen rsETH as collateral on A" source context "Aave’s TVL Tanks $6.6 Billion as Kelp DAO Hack Sparks Bad Debt and Structural Fears - Unchained" Reference image 2:
openai.com
Panorama general
En abril de 2026, las finanzas descentralizadas (DeFi) vivieron uno de los mayores incidentes de seguridad del año. Una vulnerabilidad en el puente cross‑chain del token rsETH de KelpDAO, construido sobre la infraestructura de LayerZero, permitió que un atacante acuñara cientos de millones de dólares en tokens sin respaldo.
Esos tokens fueron utilizados como colateral en plataformas de préstamos, especialmente Aave V3, para pedir prestados activos reales como wrapped Ether (WETH). El resultado fue un shock de liquidez en cascada dentro del ecosistema DeFi.
Aunque Aave no fue hackeado directamente, el protocolo terminó con cientos de millones en deuda incobrable. Durante el mes posterior al incidente, su valor total bloqueado (TVL) cayó aproximadamente 44%, desde unos 26.600 millones de dólares hasta cerca de 14.800 millones.
Qué ocurrió en el exploit de KelpDAO
El ataque ocurrió el 18 de abril de 2026, cuando un actor malicioso explotó un error de configuración en el puente de KelpDAO impulsado por LayerZero.
El problema surgió porque el sistema de verificación del puente estaba configurado con un único verificador (1‑of‑1 DVN), lo que permitía que un solo mensaje validado liberara tokens en la cadena de destino.
Studio Global AI
Search, cite, and publish your own answer
Use this topic as a starting point for a fresh source-backed answer, then compare citations before you share it.
¿Cuál es la respuesta corta a "Cómo el exploit de KelpDAO en abril de 2026 provocó la mayor crisis de liquidez en Aave"?
El 18 de abril de 2026 un atacante falsificó un mensaje cross‑chain en el puente LayerZero de KelpDAO y acuñó 116.500 rsETH sin respaldo (≈$292M).
¿Cuáles son los puntos clave a validar primero?
El 18 de abril de 2026 un atacante falsificó un mensaje cross‑chain en el puente LayerZero de KelpDAO y acuñó 116.500 rsETH sin respaldo (≈$292M). Los tokens se depositaron como colateral en Aave V3 para pedir prestado WETH real, dejando entre $177M y $200M en deuda incobrable cuando el colateral perdió respaldo.
¿Qué debo hacer a continuación en la práctica?
Aave congeló mercados, liquidó posiciones del atacante y recuperó unos 13.000 ETH, mientras otros 30.766 ETH siguen congelados por gobernanza de Arbitrum.
Desbloquear o acuñar 116.500 rsETH, valorados entre $292M y $294M.
Generar aproximadamente el 18% del suministro circulante de rsETH en ese momento.
Lo más crítico: no existía ETH real bloqueado en la cadena de origen para respaldar esos tokens. En la práctica, el rsETH fue creado de la nada.
El exploit ocurrió rápidamente —según algunos informes, en menos de una hora antes de que los sistemas de emergencia pausaran los contratos afectados.
Cómo se usó el rsETH robado para drenar liquidez de Aave
En lugar de vender inmediatamente los tokens robados, el atacante utilizó una estrategia más sofisticada dentro de los mercados de préstamos DeFi.
1. Depósito de rsETH como colateral
El atacante depositó grandes cantidades de rsETH en pools de Aave V3, distribuidos entre múltiples billeteras. Aproximadamente 89.000 rsETH terminaron depositados en Aave.
2. Préstamo de activos reales
Con ese colateral inflado, el atacante pidió prestados activos con valor real, principalmente WETH y otros tokens denominados en ETH.
3. Conversión en liquidez real
Antes de que los mercados reaccionaran, el atacante logró pedir prestado más de $236 millones en WETH y activos similares.
Esto convirtió un exploit contable de un puente en un drenaje real de liquidez desde múltiples protocolos DeFi.
Cuando se hizo evidente que el rsETH no tenía respaldo, el colateral dejó de cubrir los préstamos. Como resultado, Aave quedó con entre $177 millones y $200 millones en deuda incobrable.
Impacto inmediato en Aave y el mercado DeFi
El incidente desencadenó uno de los shocks de liquidez más rápidos observados en DeFi.
Entre los efectos más visibles:
La utilización del pool de WETH alcanzó casi el 100%, señal de escasez de liquidez.
Miles de millones de dólares fueron retirados de Aave por temor a pérdidas.
El ecosistema DeFi experimentó fuertes salidas de capital tras el incidente.
En las semanas siguientes, el TVL de Aave cayó abruptamente.
Los datos de plataformas de análisis DeFi muestran una caída desde aproximadamente $26.6B hasta $14.8B, equivalente a una pérdida cercana al 44% del capital bloqueado.
Muchos analistas describieron el fenómeno como un “bank run” en DeFi, donde los usuarios retiran fondos masivamente ante el miedo a pérdidas, aunque el protocolo no haya sido vulnerado directamente.
La respuesta de emergencia de Aave
Los gestores de riesgo y la gobernanza de Aave reaccionaron rápidamente para contener el problema.
Congelación de mercados
Pocas horas después del exploit:
Se congelaron los mercados de rsETH y wrsETH en todas las implementaciones de Aave V3.
El ratio préstamo‑valor (LTV) se redujo a cero para impedir nuevos préstamos.
Posteriormente también se impusieron restricciones al préstamo de WETH en varias redes para evitar que el drenaje de liquidez continuara.
Liquidación de posiciones del atacante
Cuando se implementaron los planes de recuperación, Aave coordinó liquidaciones controladas de las posiciones vinculadas al atacante.
Estas operaciones liberaron aproximadamente 13.000 ETH (unos $30 millones) asociados al exploit.
Los activos recuperados fueron transferidos a un multisig llamado Recovery Guardian, administrado por DeFi United, como parte del esfuerzo del ecosistema para restaurar el respaldo del rsETH.
Restauración progresiva de operaciones
Tras estabilizar el sistema, Aave comenzó a reactivar sus mercados.
Para el 18 de mayo de 2026:
Los ratios de préstamo‑valor de WETH volvieron a niveles previos al incidente.
El préstamo de WETH fue reactivado en despliegues clave.
Esto incluyó Ethereum Core, Ethereum Prime, Arbitrum, Base, Mantle y Linea.
Fondos recuperados y activos congelados
El balance financiero del incidente sigue siendo complejo.
Fondos recuperados
Aproximadamente 13.000 ETH (~$30M) recuperados mediante liquidaciones.
Fondos congelados
El Consejo de Seguridad de Arbitrum congeló 30.766 ETH (~$71M) vinculados al ataque.
Los activos fueron transferidos a una billetera intermedia controlada por la gobernanza de la red mientras se resuelven cuestiones legales.
Procedimientos judiciales en EE. UU. han retrasado el desbloqueo total de esos fondos, lo que limita su uso inmediato en la recuperación del ecosistema.
Incluso después de las liquidaciones, informes indicaban que el rsETH mantenía un déficit de respaldo cercano al 10%, reflejando la magnitud del fallo original.
Por qué este exploit es importante para la infraestructura DeFi
El incidente expuso varios riesgos sistémicos en las finanzas descentralizadas.
Riesgo de configuración en puentes
El problema no fue una falla general en LayerZero, sino la configuración específica del puente.
Un esquema con un solo verificador permitió que un mensaje fraudulento autorizara una transferencia completa.
Contagio por colateral
El ataque demostró cómo una vulnerabilidad en un protocolo puede propagarse a otros cuando un token se usa ampliamente como colateral.
El sistema de préstamos de Aave funcionó correctamente, pero aceptó un activo cuyo respaldo falló silenciosamente.
Dinámica de “bank run” en DeFi
La retirada masiva de fondos mostró que la confianza puede evaporarse rápidamente incluso en los protocolos más grandes.
Cambios en la gestión de riesgos
Después del incidente, aumentaron las demandas dentro del sector para:
reglas más estrictas para listar colateral
límites de suministro más conservadores
verificaciones cross‑chain más robustas
mecanismos de emergencia para activos ligados a puentes o restaking
Estas medidas buscan reducir el riesgo de contagio entre protocolos.
Conclusión
El exploit de KelpDAO en abril de 2026 dejó una lección clave para las finanzas descentralizadas: la seguridad de un protocolo también depende de la seguridad de los activos que acepta como colateral.
Aave nunca fue hackeado. Sin embargo, la entrada de $292 millones en rsETH sin respaldo en sus mercados de préstamos provocó un enorme shock de liquidez, generó cientos de millones en deuda incobrable y desencadenó una de las mayores caídas de TVL en la historia de DeFi.
Desde entonces, el incidente se ha convertido en un caso de estudio fundamental sobre riesgos de puentes cross‑chain y contagio entre protocolos DeFi.
cryptotimes.io
Who Bears the KelpDAO rsETH Losses — Aave, rsETH Holders, or ...
Comments
0 comments