Análisis Completo del Incidente de KelpDAO: ¿Por qué Aave, que no fue comprometido, terminó en una situación de crisis?

Título Original: El Explotación de Kelp DAO en rsETH Ha Llevado a Aave a Su 'Momento de Verdad'
Autor Original: Gianmarco Marzotto
Traducción: Peggy, BlockBeats

Nota del Editor: El 18 de abril, una transacción que involucraba aproximadamente 116,500 tokens de rsETH envió ondas de choque a través de todo el ecosistema DeFi, presentando una prueba de estrés inesperada. Los activos robados fluyeron rápidamente hacia Aave V3, donde se utilizaron como colateral para pedir prestado una cantidad significativa de WETH. Este repentino aflujo interrumpió el sistema de préstamos previamente estable, llevando la utilización del pool de ETH al 100% y acercando la cantidad potencial de incumplimiento a $200 millones. En cuestión de horas, se retiraron fondos masivamente, lo que llevó a una crisis de liquidez.

Superficialmente, esto puede parecer otro ataque a un puente entre cadenas; sin embargo, el problema más profundo radica en el hecho de que no ocurrió dentro del propio código de Aave, sino que se infiltró a través de un activo colateral "supuestamente seguro" externo. El fracaso de rsETH en el proceso de puenteo, re-colateralización y gobernanza lo hizo económicamente no redimible, sin embargo, este cambio no se reflejó adecuadamente en el sistema de préstamos, resultando en un impacto directo en la solvencia del protocolo.

Desde la perspectiva de este artículo, la estructura de riesgo de DeFi está experimentando una transformación. La cuestión de la seguridad del protocolo ya no se trata solo de "vulnerabilidad del contrato", sino más bien de "la fiabilidad de toda la cadena técnica y de gobernanza detrás del colateral aceptado." A medida que la provisión de liquidez, la re-colateralización y la infraestructura entre cadenas se apilan unas sobre otras, el fracaso de cualquier eslabón podría magnificar en un shock sistémico a través de la cadena de colateral.

En retrospectiva, este fue un caso típico de "rendimiento que se vuelve en contra": lo que una vez se consideró casi libre de riesgo en la re-colateralización de rendimiento se transformó de la noche a la mañana en agotamiento de liquidez y exposición al incumplimiento. Para Aave, esto fue una verdadera prueba de gobernanza y gestión de riesgos; para todo el ecosistema DeFi, puede servir como un recordatorio más claro de que en un sistema altamente composable, el riesgo nunca ha desaparecido, sino que ha sido redistribuido y retrasado.

Lo siguiente es el artículo original:

Introducción: El día en que rsETH dejó de ser 'libre de riesgo'

El 18 de abril de 2026, DeFi experimentó un momento que distanció completamente "la teoría" de "la realidad": el puente cross-chain rsETH del Kelp DAO fue explotado, con aproximadamente 116,500 tokens rsETH (alrededor de 2.92 mil millones a 2.93 mil millones de dólares) siendo atacados, marcando el mayor hackeo DeFi del año hasta la fecha.

Estos tokens robados no se quedaron quietos, sino que fueron rápidamente trasladados a Aave v3 como colateral y se pidió prestado WETH. Esta acción desencadenó directamente una crisis de liquidez, resultando en una deuda mala de más de 170 millones a 200 millones de dólares en el protocolo.

A diferencia de muchos eventos de ataque pasados, esto no se debió a una vulnerabilidad en el propio código de Aave. El problema provenía de una fuente "externa": un feed de precios de colateral que originalmente se consideraba fiable, pero que perdió credibilidad en un corto período de tiempo.

Este artículo describirá la evolución específica de este evento, explicará por qué se asemejaba más a una crisis de liquidez que a una vulnerabilidad de seguridad a nivel de Aave, y discutirá más a fondo lo que este evento significa para la gestión de riesgos en un ecosistema DeFi cada vez más interconectado.

¿Qué son Kelp DAO y rsETH (y por qué llamaron la atención de Aave)

Kelp DAO es un protocolo de restaking líquido que permite a los usuarios convertir ETH y varios tokens de liquidez apostados (como stETH, cbETH, etc.) en un token de liquidez llamado rsETH, que está vinculado al activo subyacente restakeado en el EigenLayer.

Como tal, el valor de rsETH se deriva de una cesta de activos subyacentes bloqueados en el sistema de restaking. Si bien estos activos subyacentes tienen una liquidez limitada, rsETH como token aún puede circular libremente por todo el ecosistema DeFi, utilizándose como colateral o participando en diversas estrategias de yield farming.

Desde la perspectiva de un protocolo de préstamos como Aave (un mercado de dinero), rsETH es "teóricamente" casi un colateral ideal: tiene un fuerte soporte colateral, fuentes de ingresos adicionales y está integrado en un ecosistema "blue-chip" como EigenLayer. Es por esta razón que rsETH fue listado en los mercados de Aave v3 y v4, permitiendo a los usuarios utilizarlo como colateral para pedir prestados activos más líquidos (como WETH).

Sin embargo, esta integración también trajo consigo un cambio en el paradigma de riesgo: La capacidad de Aave para reembolsar en el lado de ETH ahora depende no solo del diseño y la seguridad de su propio protocolo, sino también de componentes externos, incluyendo la operación segura de puentes cross-chain y toda la pila de tecnología de restaking que soporta rsETH.

Ruta de ataque: Del puente cross-chain de Kelp a Aave v3

Según el análisis preliminar en cadena y los informes de múltiples medios de criptomonedas, el incidente se originó en el puente cross-chain rsETH basado en LayerZero de Kelp DAO.

El atacante explotó una vulnerabilidad en el mecanismo de mensajes cross-chain del puente (lzReceive en EndpointV2) para retirar aproximadamente 116,500 rsETH del adaptador/p puente, lo que corresponde a una escala de alrededor de 2.92 mil millones a 2.93 mil millones de dólares en el momento del ataque.

Tras obtener estos tokens, la estrategia de ataque fue altamente "racional" en términos económicos:

· Depositar rsETH en Aave v3 como garantía

· Pedir prestado tanto WETH como sea posible contra esta posición (utilizando el hecho de que rsETH todavía era plenamente reconocido por el protocolo como un activo de garantía válido en ese momento)

· Mover o retirar el WETH prestado para extraer valor de liquidez real

· Dejar el riesgo dentro del ecosistema de Aave, esperando que el valor de la garantía colapse posteriormente

Al detectar la anomalía, Kelp DAO anunció de inmediato la suspensión de los contratos de rsETH en la mainnet y en varios L2s para investigar el ataque, congelando esencialmente las rutas de circulación y redención normales de rsETH.

Simultáneamente, Aave también pausó urgentemente los mercados de rsETH y wrsETH en v3 y v4, enfatizando que sus contratos inteligentes no fueron vulnerados, y el problema se limitaba a ese activo en particular.

Sin embargo, el problema central es este: el rsETH que sirve como garantía ha "fallado" a nivel económico.

El puente fue drenado, la ruta de redención es incierta, y el mecanismo de descubrimiento de precios está en desorden, mientras que el WETH previamente pedido prestado basado en la garantía todavía existe físicamente.

Crisis de Liquidez en Aave: Utilización Máxima y un Default de "Nueve Dígitos"

La congelación de rsETH por parte de Kelp DAO ha hecho que las posiciones garantizadas con este token no puedan ser liquidadas de manera ordenada. Específicamente, los préstamos de WETH asociados con estas garantías ya no pueden ser recuperados con un valor suficiente a través de la disposición de rsETH, causando que el mecanismo del protocolo como "prestamista de última instancia" falle en estas posiciones.

Las estimaciones preliminares indican:

· Aproximadamente 116,500 rsETH fueron robados y depositados en Aave v3

· La escala de los préstamos de WETH directamente relacionados con estas posiciones se estima entre 177 millones y 236 millones de dólares

· Considerando las exposiciones en cascada a otros protocolos, la escala de default potencial podría alcanzar hasta alrededor de 200 millones de dólares

· La tasa de utilización del pool de ETH de Aave alcanzó brevemente el 100%, con casi ninguna liquidez disponible para que los usuarios retiren (a menos que hagan front-run)

Se desató un pánico, con más de 5.4 mil millones de dólares siendo retirados rápidamente de Aave en cuestión de horas, incluyendo más de 150 millones de dólares de Justin Sun, una ballena clave en el protocolo.

El tvl-7532">Valor Total Bloqueado (TVL) de Aave se desplomó de alrededor de 45.8 mil millones de dólares a 35.7 mil millones de dólares en un periodo muy corto, mientras que su token AAVE cayó aproximadamente un 17% a casi un 20% en un solo día.

Un resultado irónico fue que para los usuarios que prestaban stablecoins u otros activos, el rendimiento se disparó — debido a la escasez de fondos prestables, el APY para los depósitos de stablecoins se disparó a alrededor del 13%-14%, una señal típica de que el mercado entra en "modo crisis."

Perspectivas sobre la Gestión de Riesgos On-Chain a partir de este Evento

El evento rsETH–Kelp DAO–Aave no fue solo un ataque típico, sino más bien un ejemplo primordial que revela cómo el riesgo se propaga de un protocolo a otro en un sistema financiero DeFi altamente composable.

Varios puntos clave incluyen:

Los protocolos de préstamo no existen en aislamiento
Incluso si los contratos inteligentes de Aave no fueron vulnerados directamente, aceptar rsETH como colateral significaba estar expuesto directamente a riesgos externos — incluyendo la seguridad de los puentes cross-chain y el sistema de re-colateralización detrás de ello.

Cuando la "redimibilidad" se descompone, la fijación de precios de los oráculos es insuficiente
Incluso si los precios on-chain técnicamente permanecen "válidos," una vez que un activo pierde redimibilidad o liquidez (por ejemplo, debido a una pausa, ataque o congelación), deja de ser un colateral económicamente viable. La gestión de riesgos necesita abarcar la integridad de la infraestructura y factores de gobernanza, no solo la dimensión del precio.

Un mecanismo de pausa de emergencia es una espada de doble filo
El Kelp DAO congeló el contrato de rsETH, un movimiento razonable desde la perspectiva de controlar el ataque, pero agravó el problema para Aave: el colateral se volvió ilíquido, haciendo que la liquidación fuera más desafiante.

El "colateral distribuido" puede evolucionar hacia una concentración de riesgo sistémico
Cada nuevo LRT, LST o activo derivado complejo introduce nuevos vectores de riesgo. Una vez que estos activos son aceptados como colateral por múltiples protocolos (como Aave, Compound, Euler, etc.), un solo ataque a un puente cross-chain podría desencadenar un efecto en cascada en todo el ecosistema.

Para los gestores de riesgos on-chain, este evento se ha convertido esencialmente en un "plantilla": el llamado "blanqueo de colateral" ya no se trata solo de evaluar fluctuaciones de precios, sino que ahora requiere medir la complejidad y vulnerabilidad de toda la cadena de suministro técnica que soporta el activo.

Perspectivas: Cómo Aave (y DeFi) Puede Cambiar Tras el Incidente de rsETH

En cuestión de horas tras el ataque, el equipo de Aave y el Guardián aseguraron que el fondo de liquidez seguía funcionando con normalidad, afectando solo a los activos relacionados con rsETH. Están colaborando con Kelp, LayerZero y otros interesados para minimizar el impacto.

Pero el verdadero trabajo apenas comienza: cómo manejar la deuda incobrable, si activar el mecanismo del Módulo de Seguridad/Paraguas, y cómo actualizar las estrategias de listado de activos serán todas pruebas críticas de gobernanza.

Varias direcciones que este evento puede acelerar incluyen:

· Adoptar parámetros de incorporación más conservadores para activos LRT/cross-chain: menor LTV, límites más estrictos y requisitos de auditoría en múltiples capas, con pruebas de estrés especializadas para escenarios de ataque cross-chain.

· Construir un marco de cuantificación para medir el "riesgo de puente" y el "riesgo de restaking", similar a la modelización actual de la volatilidad de precios y la correlación de activos.

· Poner mayor énfasis en los problemas de concentración de colateral: establecer límites no solo por activo individual, sino también por "categoría de riesgo" (por ejemplo, activos derivados del mismo proveedor de LRT o infraestructura de mensajería).

· Impulsar la evolución del papel del Módulo de Seguridad: incluyendo staking de AAVE, un fondo de seguros y un fondo de liquidez de respaldo, pasando de ser la "última línea de defensa" a parte de la gestión diaria del riesgo sistémico.

Para los usuarios, este evento también envía una señal clara: utilizar tokens compuestos complejos como colateral puede efectivamente aumentar los rendimientos, pero también significa exponerse a una serie de riesgos a menudo pasados por alto, incluyendo vulnerabilidades de puentes cross-chain, problemas de gobernanza de restaking y mecanismos de apagado de emergencia de protocolos ascendentes.

Un Recordatorio Sobre la Naturaleza del Rendimiento en DeFi

El ataque a rsETH no vulneró el código de Aave, pero reveló un problema crucial: cuando el colateral se basa en promesas de liquidez complejas, restaking y estructuras de puentes cross-chain, la sensibilidad de los protocolos de préstamo a choques externos aumenta significativamente.

Lo que parecía ser rendimientos "sin riesgo" en los últimos meses se convirtió en una crisis de liquidez con más de 10 mil millones de dólares en salidas en solo un día, así como posibles incumplimientos de hasta alrededor de 200 millones de dólares.

Si hay una lección clave que se debe aprender, es esta: en DeFi, el rendimiento siempre se valora con riesgo — simplemente que este riesgo a menudo se subestima antes de que ocurra el primer evento sistémico.

[Artículo Original]