Según se ha informado, un atacante aprovechó una vulnerabilidad en el proceso de acuñación del token de restaking líquido rsETH de KelpDAO el 18 de abril de 2026, sustrayendo una cantidad estimada de 280 millones de dólares o más en las redes Ethereum y Arbitrum. Puntos clave:
ZachXBT alerta de un ataque a KelpDAO por valor de más de 280 millones de dólares que afecta a los mercados de préstamos DeFi de Ethereum
ESCRITO POR
COMPARTIR
- ZachXBT alertó de un robo de más de 280 millones de dólares en los protocolos DeFi de Ethereum y Arbitrum el 18 de abril de 2026.
- El fallo de acuñación del rsETH de KelpDAO generó deuda incobrable en Aave V3, lo que provocó una caída del token AAVE de entre el 10 % y el 13 %.
- KelpDAO no ha confirmado el exploit; los analistas están vigilando seis carteras de atacantes identificadas en busca de pistas para la recuperación.
Vulnerabilidad en DeFi de Ethereum: el ataque a rsETH de KelpDAO drena más de 280 millones de dólares
El investigador on-chain ZachXBT publicó la alerta inicial en su canal público de Telegram poco antes de las 3 p. m. ET, enumerando seis direcciones de monedero vinculadas al robo y señalando que los monederos de los atacantes se financiaron a través de Tornado Cash antes de que comenzara la fuga. Su publicación citaba pérdidas que superaban los 280 millones de dólares en múltiples protocolos DeFi sin nombrar directamente a KelpDAO, pero los analistas on-chain relacionaron las direcciones en cuestión de horas.
«Parece que a KelpDAO le han robado más de 280 millones de dólares hace una hora en Ethereum y Arbitrum», escribió ZachXBT. «Las direcciones del ataque se financiaron a través de Tornado Cash».
El ataque siguió un guion muy manido. Los informes indican que los atacantes parecen haber explotado un fallo en la lógica de acuñación de rsETH, creando un gran volumen del token de restaking líquido sin aportar las garantías adecuadas. Ese rsETH inflado se depositó entonces en los mercados de préstamos de Aave V3 tanto en Ethereum como en Arbitrum, donde el atacante pidió prestadas cantidades significativas de ETH y otros activos a cambio.
Una vez que se reconoció que la garantía no tenía valor, esas posiciones dejaron a Aave con deuda incobrable. Las estimaciones de la comunidad sobre las pérdidas totales oscilaron entre 100 y aproximadamente 293 millones de dólares, el equivalente a unos 116 500 ETH a precios actuales. AAVE cayó bruscamente tras conocerse la noticia. Los datos del mercado muestran una caída de entre el 10 % y el 13 % en las horas posteriores a la alerta inicial, a medida que el mercado sopesaba la posible exposición a deuda incobrable en los fondos de préstamo del protocolo. Los tokens de re-staking de Liquid, como el rsETH, se encuentran en el corazón de la composibilidad de DeFi. Se aceptan como garantía en múltiples mercados de préstamo simultáneamente, lo que significa que una vulnerabilidad de acuñación puede propagar las pérdidas rápidamente entre plataformas. El incidente de KelpDAO ilustra ese riesgo directamente.
Las carteras de los atacantes enumeradas por ZachXBT mostraban grandes posiciones de ETH en Aave y Compound. Según se informa, una sola dirección tenía aproximadamente 120 millones de dólares en ETH en Aave en el momento de la detección. Los fondos se movieron rápidamente tras el drenaje.
El uso de Tornado Cash para prefinanciar carteras operativas antes del ataque es una táctica habitual entre los atacantes que intentan ocultar el origen de los fondos. No indica una nueva técnica, pero confirma que la operación fue deliberada y planificada.
A las 15:00 h ET del 18 de abril, KelpDAO aún no había publicado un comunicado oficial ni un análisis posterior al incidente. La comunidad estaba pendiente de la cuenta de X y el sitio web del proyecto en busca de una respuesta, así como de los canales de gobernanza de Aave para conocer cualquier medida de emergencia.
Las empresas de seguridad DeFi, entre ellas Peckshield, Slowmist y otras, aún no habían publicado análisis detallados en el momento de redactar este artículo, lo que refleja la rapidez con la que se desarrolló la situación. ZachXBT no había publicado ningún seguimiento en el que mencionara específicamente a KelpDAO en canales públicos, pero la coincidencia de direcciones trazaba una línea clara.
El hackeo de Drift Protocol en 2026: qué ocurrió, quiénes perdieron dinero y qué va a pasar ahora
El protocolo Drift perdió 286 millones de dólares el 1 de abril de 2026, en un ataque informático a la DeFi de Solana que duró 12 minutos y que se atribuyó a actores de la República Popular Democrática de Corea,… read more.
Leer ahora
El hackeo de Drift Protocol en 2026: qué ocurrió, quiénes perdieron dinero y qué va a pasar ahora
El protocolo Drift perdió 286 millones de dólares el 1 de abril de 2026, en un ataque informático a la DeFi de Solana que duró 12 minutos y que se atribuyó a actores de la República Popular Democrática de Corea,… read more.
Leer ahoraEl hackeo de Drift Protocol en 2026: qué ocurrió, quiénes perdieron dinero y qué va a pasar ahora
Leer ahoraEl protocolo Drift perdió 286 millones de dólares el 1 de abril de 2026, en un ataque informático a la DeFi de Solana que duró 12 minutos y que se atribuyó a actores de la República Popular Democrática de Corea,… read more.
Este incidente es independiente del exploit de Drift Protocol del que informó por primera vez Bitcoin.com News el 1 de abril de 2026, en el que se sustrajeron aproximadamente 280 millones de dólares principalmente en Solana antes de que el USDC se transfiriera a Ethereum a través de CCTP. La mecánica, las cadenas y las cronologías son distintas.
Los miembros de la comunidad aconsejaban a cualquiera que tuviera rsETH o posiciones relacionadas en Aave, Compound u otros mercados de préstamos que revisara su exposición mientras la situación permaneciera sin resolver. Las seis carteras de los atacantes identificadas por ZachXBT siguen siendo objetivos activos para el rastreo en cadena, mientras los analistas trabajan para localizar adónde se movieron los fondos tras salir de Aave.
