Menos de un día después de que atacantes sustrajeran 291 millones de dólares en cripto de infraestructura vinculada al proyecto de finanzas descentralizadas Kelp DAO, los usuarios de Aave, uno de los protocolos de DeFi más probados en batalla, tuvieron dificultades para retirar fondos en medio de una crisis de liquidez.
Un puente que normalmente permite a los usuarios mover un activo llamado rsETH de una red a otra fue explotado el sábado, lo que llevó a Aave a congelar los mercados vinculados al token, que los atacantes habían utilizado para pedir prestado fondos de la plataforma, según informó el protocolo de préstamos en una publicación de X.
Mientras tanto, Kelp DAO dijo en una publicación de X que había «pausado los contratos de rsETH» en la mainnet de Ethereum y varias redes de escalado de capa 2 mientras investiga la actividad sospechosa.
Earlier today we identified suspicious cross-chain activity involving rsETH. We have paused rsETH contracts across mainnet and several L2s while we investigate.
We are working with @LayerZero_Core, @unichain, our auditors and top security experts on RCA.
We will keep you…
— Kelp (@KelpDAO) April 18, 2026
La actividad de los atacantes en Aave hizo que la llamada tasa de utilización de un pool de préstamos central se disparara al 100%, lo que indica que los usuarios que previamente habían depositado Ethereum y wrapped Ethereum se han quedado con poca o ninguna liquidez para retirar, según mostraron los datos de Aavescan.
Una hora antes de que Aave bloqueara los mercados, la firma de seguridad blockchain PeckShield alertó sobre una transacción que mostraba 116.500 rsETH, valorados en 291 millones de dólares en ese momento, fluyendo a una nueva billetera.
Los atacantes no se fugaron con el rsETH que había sido liberado maliciosamente del puente. Más bien, utilizaron Aave para pedir prestado fondos regulares, creando una «deuda incobrable masiva», dijo Francesco Andreoli, jefe de relaciones con desarrolladores de Consensys y MetaMask, en una publicación de X. (Descargo de responsabilidad: Consensys es uno de los muchos inversores en Decrypt, editorialmente independiente.)
El token de gobernanza de Aave se desplomó a 90,13 dólares el domingo, una disminución del 16% en el último día, según CoinGecko. Ethereum cayó un 2% a 2.300 dólares durante el mismo período.
Mientras los usuarios luchaban por retirar fondos de Aave, comenzaron a pedir préstamos contra sus depósitos en stablecoins, tensando aún más la liquidez como señal de «efectos secundarios negativos», dijo monetsupply.eth, el seudónimo jefe de estrategia del proyecto DeFi Spark, en una publicación de X.
El exploit de Kelp DAO y las consiguientes repercusiones en Aave provocaron una ola masiva de retiros de varios protocolos DeFi, incluso de aquellos que no se vieron afectados, según 0xngmi, el cofundador seudónimo del proveedor de datos DefiLlama. En términos netos, los usuarios habían retirado 6.200 millones de dólares solo de Aave a primera hora del domingo, dijeron en una publicación de X.
The Aave situation is bad and getting worse. Multiple other pools are hitting 100% utilization, leaving lenders stuck and the protocol at risk of further bad debt.
Lending rates have increased to 10-15%, a notable increase but still not an appropriate reward for the perceived…
— Quit (@0xQuit) April 19, 2026
Con el contagio aparentemente extendiéndose, el último exploit de DeFi proporciona «mucho material» para los críticos escépticos de los sistemas que buscan reemplazar a los intermediarios financieros tradicionales con código, dijo Salman Banei, asesor general de Plume, una red centrada en la tokenización, en una publicación de X.
Kelp DAO emite rsETH, un token de staking líquido que permite a los usuarios ganar recompensas de staking de Ethereum y restaking de EigenLayer. Actúa como un «recibo» negociable para los depositantes de Kelp DAO. El puente de Kelp DAO se construyó sobre la infraestructura diseñada por LayerZero, un protocolo que permite a las aplicaciones DeFi enviar mensajes y transferir activos entre blockchains.
Stacy Muur, una destacada investigadora de blockchain, dijo en una publicación de X que el exploit parecía depender de un único punto de falla. Escribió que un mensaje «fantasma» utilizado por los atacantes engañó esencialmente al puente de Kelp DAO para que liberara rsETH en Ethereum sin eliminar una cantidad correspondiente de tokens de circulación en la capa 2 de Ethereum, Unichain.
No obstante, algunos observadores estaban ansiosos por encontrar un camino a seguir, incluido el empresario cripto y fundador de Tron, Justin Sun. Intentó negociar, argumentando que los atacantes, en última instancia, tendrían dificultades para gastar los fondos robados.
«¿Cuánto quieren?», les preguntó en una publicación de X. «Simplemente no vale la pena sacrificar tanto Aave como Kelp DAO y dejarlos caer por este hackeo».
