Kelp DAO pierde $292M en el mayor exploit cripto de 2026

Párrafo inicial

El 18 de abril de 2026, Kelp DAO sufrió lo que Chainalysis y Coindesk describieron como el mayor exploit cripto del año: un atacante drenó 116.500 rsETH —aproximadamente $292 millones según los precios prevalecientes— desde un puente potenciado por LayerZero, dejando ether envuelto varado en 20 cadenas y precipitando congelaciones de emergencia en mercados de préstamo importantes. La cantidad robada equivalía a aproximadamente el 18% de la oferta circulante de rsETH, una concentración de riesgo que forzó intervenciones rápidas a nivel de protocolo en Aave, SparkLend, Fluid y Upshift (Coindesk, 18 de abril de 2026). El incidente pone de relieve la renovada vulnerabilidad en las capas de mensajería entre cadenas y de composición que sustentan la DeFi moderna, planteando preguntas sobre la seguridad de oráculos/entre cadenas y la gestión de liquidez a escala. Mesas de trading, custodios y contrapartes institucionales reequilibraron exposiciones a activos nativos envueltos en cuestión de horas, y los indicadores on-chain mostraron una dramática volatilidad intradía en rsETH y pares relacionados de ether envuelto. Este informe presenta un análisis basado en datos del exploit, la reacción inmediata del mercado, las implicaciones sectoriales y consideraciones de riesgo prospectivas para actores institucionales.

Contexto

El exploit se dirigió a la lógica de liquidación del puente habilitado por LayerZero de Kelp DAO el 18 de abril de 2026, según el reporte de Coindesk. LayerZero es un protocolo de mensajería entre cadenas ampliamente utilizado que permite mover activos y representarlos en múltiples blockchains. El atacante extrajo 116.500 rsETH, una cifra que Coindesk estimó en aproximadamente $292 millones; esa cantidad representaba cerca del 18% de la oferta circulante de rsETH, lo que implica una oferta circulante total estimada cercana a 647.200 tokens. La concentración de tokens dentro de un puente componible expuso un riesgo sistémico de liquidez porque los tokens envueltos en una cadena a menudo se reutilizan como colateral o liquidez en otras cadenas.

Los puentes entre cadenas han sido una fuente recurrente de incidentes sistémicos: el exploit de Wormhole en 2022 costó aproximadamente $320 millones, mientras que fallos históricos como el hack de la DAO de 2016 fueron menores en términos de dólares pero actuaron como puntos de inflexión para la gobernanza del riesgo de protocolo. Comparado con esos eventos, la pérdida de $292 millones de Kelp se sitúa entre las mayores brechas de un solo protocolo por valor en dólares en el último medio decenio y es el exploit más significativo registrado en 2026 hasta mediados de abril. Contrapartes institucionales y prime brokers que trataban el ether envuelto y los reclamos nativos del puente como equivalentes al ETH spot enfrentaron una reclasificación repentina del riesgo de contraparte y custodia.

Las respuestas de los protocolos fueron rápidas e irregulares. Aave, SparkLend, Fluid y Upshift congelaron ciertos mercados para prevenir cascadas de liquidación y detener la propagación de liquidez contaminada, reflejando un manual operativo que prioriza la estabilidad del mercado sobre la composabilidad. Las congelaciones y las intervenciones a nivel administrativo preservaron la solvencia nominal en grandes prestamistas, pero introdujeron incertidumbre sobre la fungibilidad de los activos, la procedencia entre cadenas y la fiabilidad de los mecanismos automáticos de liquidación. Para las instituciones, estos eventos subrayan la importancia de límites dinámicos de exposición, la diligencia debida sobre contrapartes y la capacidad forense on-chain para trazar la procedencia de activos envueltos.

Análisis de datos

Los números en bruto del informe de Coindesk establecen la escala y el alcance del exploit: 116.500 rsETH robados, $292 millones en valor, tokens varados en 20 cadenas separadas y congelaciones de emergencia en cuatro protocolos de préstamo nombrados (Coindesk, 18 de abril de 2026). La huella entre cadenas —20 cadenas— es notable porque multiplica canales de custodia y liquidez; cada cadena representa un conjunto separado de contrapartes, profundidad de liquidez en AMMs y dependencias de oráculos. La acción del atacante resultó en una fragmentación de la liquidez, con deslizamientos de precio registrados en múltiples pares DEX donde rsETH o derivados de ETH envuelto se usaban como activos base. Las métricas en cadena de los exploradores mostraron un pico en la actividad de transferencias en cadena y aumentos pronunciados en el uso de gas en las cadenas afectadas en pocas horas tras la ejecución del exploit.

Los efectos en la microestructura del mercado fueron inmediatos: los proveedores de liquidez retiraron profundidad de los pares rsETH, se movilizaron reservas de stablecoins para absorber la volatilidad en mercados de ETH sintético, y los diferenciales de base implícitos para productos derivados se ampliaron de forma material. Por ejemplo, las mesas que monitorizan las tasas de financiación reportaron una ampliación de la base de futuros para productos denominados en ETH frente al spot de varios cientos de puntos básicos intradía, reflejando primas de liquidez de contraparte elevadas. Los mercados secundarios de protocolos con alta exposición a rsETH vieron un aumento pronunciado en la volatilidad a nivel de token; aunque las cifras precisas de volatilidad varían por cadena y par, la volatilidad realizada a corto plazo para ciertos pares de rsETH subió a múltiplos de 7–10x respecto a los rangos intradía normales durante las primeras 12 horas.

Desde una perspectiva forense, los movimientos on-chain del atacante indicaron un patrón de rápida fragmentación y dispersión a través de múltiples puntos finales de puente entre cadenas, complicando el rastreo y la recuperación. La estrategia de dispersión entre cadenas es una táctica conocida para ofuscar la procedencia y explotar la fragmentación jurisdiccional y técnica en los esfuerzos de recuperación. Esa estrategia también incrementó la carga operativa sobre custodios y relayers para coordinar congelaciones e identificar fondos contaminados. Analistas que compararon los flujos en cadena con exploits de puentes previos señalaron que la velocidad de dispersión y la amplitud en 20 cadenas estuvieron entre las razones principales por las que este evento escaló a un incidente de estabilidad del mercado en lugar de una vulneración aislada de protocolo.

Implicaciones para el sector

El exploit probablemente impulsará una recalibración de los modelos de riesgo a lo largo de la pila de infraestructura DeFi. Los puentes y las capas de mensajería entre cadenas son centrales para la multiplexación de liquidez de tokens; un único exploit grande que corte esa multiplexación puede generar shocks de liquidez correlacionados en protocolos aparentemente no conectados. Los actores institucionales que habían modelado los activos nativos envueltos como equivalentes fungibles a nati