Lo que comenzó como el exploit de Kelp DAO ya no es solo una historia de puente, sino que ahora es un referéndum cripto sobre cómo DeFi maneja la seguridad, el contagio y la rendición de cuentas.
El daño inmediato ya era severo. El exploit de aproximadamente $292 millones afectó el puente rsETH de Kelp DAO, desencadenó preocupaciones de deuda incobrable en Aave y generó una nueva ronda de señalamientos entre protocolos y proveedores de infraestructura.
La reacción del mercado fue brutal. Los analistas onchain de Lookonchain dijeron que el valor total bloqueado (TVL) de Aave cayó en casi $8 mil millones después de que el atacante usara activos robados vinculados a Kelp DAO como garantía, dejando alrededor de $195 millones en deuda incobrable.
Los datos de The Block muestran ahora que el TVL de Aave ha sufrido una fuerte caída en 48 horas a medida que los fondos se rotaron a otros lugares, incluido Spark.
Ampliar Gráfico
The Block informó más tarde que Aave había modelado dos posibles escenarios de deuda incobrable relacionados con las consecuencias.
Mientras tanto, los fondos robados en el exploit comenzaron a moverse entre cadenas después de que Arbitrum congelara una gran parte del ETH vinculado.
Una pregunta aguda que circula ahora en toda la industria debate no si DeFi todavía funciona, sino qué tipo de riesgos sigue tolerando en 2026.
El fundador de Curve, Michael Egorov, lo expresó en los términos más directos. "¿Qué demonios? ¿Somos una industria de payasos?", escribió en X, argumentando que los recientes fallos vinculados a puntos centralizados de fallo están dañando una industria que aún afirma estar construyendo el futuro de las finanzas.
Su punto más amplio está calando. La brecha de Kelp no solo afectó a un protocolo, sino que se propagó a través de la componibilidad.
Un único fallo de puente se convirtió en un riesgo de garantía multiprotocolo. El riesgo de garantía se convirtió en estrés de préstamos. El estrés de préstamos se convirtió en retiros. En DeFi, el código puede ser modular, pero el pánico es compartido.
Wenzhao Dong, analista de blockchain en CertiK, dijo a The Block que el problema no es que DeFi esté intrínsecamente roto. Más bien, es que demasiados equipos todavía tratan la seguridad como un gasto general.
"Los protocolos que sobrevivan al próximo ciclo serán aquellos que vean la seguridad como TradFi ve el riesgo de contraparte, como un factor crucial, no como una ocurrencia tardía", dijo Dong.
Brian Trunzo, director de crecimiento de Succinct Labs, compartió un punto similar. Dijo que los puentes ya no deberían depender de modelos de validadores que requieren mucha confianza cuando existen sistemas basados en pruebas.
Según su relato, el exploit de Kelp fue una falla en la capa de verificación del puente, no un error típico de contrato inteligente, y demostró lo peligrosas que siguen siendo las suposiciones de un solo firmante.
"En este punto, si tu modelo de confianza es inferior a ZK, estás siendo gravemente negligente. Quizás incluso imprudente", dijo Trunzo a The Block.
Otros llevaron la crítica más allá.
Sergej Kunz, cofundador de 1inch, dijo que el episodio expuso cuán frágil puede volverse el modelo de pool compartido cuando un activo defectuoso impulsa la utilización completa y efectivamente atrapa los fondos de los usuarios. Matthew Pinnock, COO de Altura DeFi, agregó que la velocidad de los retiros mostró lo rápido que puede desmoronarse la confianza una vez que las suposiciones de garantía se rompen.
Aun así, no todos salieron más bajistas.
El experto en seguridad de Metamask, Taylor Monahan, calificó la congelación de emergencia de ETH robado por parte de Arbitrum como una señal de que "DeFi, ¡maldita sea, gana!", elogiando la coordinación que se necesitó para detener más daños.
Haseeb Qureshi de Dragonfly dijo que DeFi siempre ha aprendido a través del fracaso, comparando el momento actual con crisis anteriores como Terra, los colapsos de las subastas de marzo de 2020 y el desanclaje de stETH. Erik Voorhees presentó un argumento similar desde los primeros principios: en cripto, argumentó, los fallos se mantienen cerca de la fuente en lugar de socializarse en toda la sociedad como suele ocurrir en las finanzas tradicionales.
Neil May, CEO de defi.com, ofreció un punto de vista ligeramente diferente. En declaraciones a The Block, May conjeturó que la debilidad de DeFi no es solo técnica, sino también experiencial. Todavía se espera que los usuarios entiendan demasiado, se expongan demasiado y se recuperen muy mal cuando las cosas salen mal.
"La gente necesita entender lo que está firmando, limitar lo que expone y tener una ruta de recuperación clara cuando las cosas salen mal. Esto es simplemente un nivel empresarial que falta en DeFi hoy", dijo May. "Los productos que ganen la confianza generalizada serán aquellos que hagan que la seguridad sea invisible, no aquellos que pidan a los usuarios que sean su propio equipo de seguridad."
Para algunos, esa puede ser la lección más importante del incidente de Kelp.
El exploit ha revivido un viejo debate de DeFi sobre la descentralización versus la conveniencia, pero también ha agudizado uno más nuevo: la seguridad ya no termina en los propios contratos de un protocolo.
Un mercado de préstamos puede ser saludable por sí mismo y aun así ser afectado por un puente río arriba.
Un puente puede llamarse descentralizado y aun así depender de un eslabón débil.
Una congelación de emergencia puede salvar fondos y aun así reabrir preguntas incómodas sobre gobernanza e intervención.
Lukas Schor, presidente de Safe Ecosystem Foundation, dijo a The Block que el patrón más amplio importa más que el juego de culpas sobre quién finalmente cubre el agujero de Aave.
Actores vinculados a Lazarus, dijo, han acelerado la cadencia de ataques este mes, mientras que la IA está comenzando a amplificar el riesgo de reconocimiento e ingeniería social.
Según la opinión de Schor, la industria DeFi se enfrenta a un adversario de grado estatal-nación con defensas aún construidas para una era más suave.
"Lo que está claro ahora es que incluso los protocolos DeFi más establecidos tienen un objetivo en la espalda", dijo a The Block. "La ciberseguridad siempre ha sido un juego del gato y el ratón. Pero ahora mismo está claro que nosotros, como industria, tenemos que mejorar nuestras defensas. De lo contrario, la confianza en DeFi se erosionará muy rápidamente e irremediablemente."
Planteó que este mismo punto explica por qué los números importan más allá de los titulares. The Block informó a principios de esta semana que las pérdidas de DeFi ya habían superado los $600 millones en solo semanas. Si se añade el exploit de Drift de aproximadamente $285 millones y la estimación revisada de pérdida de Hyperbridge de $2.5 millones, abril se perfila como otro mes que obliga al sector a responder preguntas difíciles sobre las suposiciones de confianza y la disciplina operativa.
Descargo de responsabilidad: The Block es un medio de comunicación independiente que ofrece noticias, investigación y datos. A partir de noviembre de 2023, Foresight Ventures es un inversor mayoritario de The Block. Foresight Ventures invierte en otras empresas del espacio cripto. El exchange de criptomonedas Bitget es un LP ancla para Foresight Ventures. The Block continúa operando de forma independiente para ofrecer información objetiva, impactante y oportuna sobre la industria cripto. Aquí están nuestras divulgaciones financieras actuales.
© 2026 The Block. Todos los derechos reservados. Este artículo se proporciona únicamente con fines informativos. No se ofrece ni está destinado a ser utilizado como asesoramiento legal, fiscal, de inversión, financiero o de otro tipo.
