Aave lidera rescate DeFi tras hack de KelpDAO por USD $292 millones

Aave y varios actores clave del ecosistema DeFi activaron un rescate coordinado luego del hack vinculado a KelpDAO, un ataque de USD $292.000.000 que dejó un grave déficit en el respaldo de rsETH, provocó retiros masivos y abrió un nuevo debate sobre el riesgo sistémico en las finanzas descentralizadas.
***

• Aave coordina la iniciativa DeFi United para recapitalizar rsETH y contener el impacto del exploit.
• Lido Finance, EtherFi y Stani Kulechov propusieron aportar ETH y stETH para reducir el déficit.
• El atacante acuñó 116.500 rsETH sin respaldo y usó parte de esos tokens para pedir prestados cerca de USD $190.000.000 en Aave.

---

El ecosistema de finanzas descentralizadas enfrenta una nueva prueba de estrés tras el exploit vinculado a KelpDAO, un incidente de USD $292.000.000 que dejó a Aave, el mayor protocolo de préstamos DeFi, lidiando con un fuerte deterioro en el respaldo de uno de los colaterales usados dentro de su plataforma.

La respuesta no tardó en llegar. Aave y varias firmas relevantes del sector comenzaron a coordinar un esfuerzo de emergencia para estabilizar el mercado, evitar un mayor daño a los usuarios y reducir el riesgo de deuda incobrable derivado del colapso parcial de rsETH, un token derivado de ether que genera rendimiento.

Según reportó CoinDesk, la iniciativa fue bautizada como DeFi United y está siendo liderada por proveedores de servicios vinculados a Aave. Su objetivo principal es restaurar el respaldo de rsETH y aliviar el déficit que dejó el ataque, en lugar de concentrarse exclusivamente en recuperar los fondos ya desviados por el atacante.

Para lectores menos familiarizados con el tema, Aave permite depositar criptoactivos como garantía para pedir préstamos. Si el colateral pierde valor o resulta comprometido, el protocolo puede quedar expuesto a pérdidas. Eso fue precisamente lo que ocurrió después de que rsETH, usado como garantía, quedara parcialmente desanclado por la acuñación de tokens sin respaldo.

Un rescate coordinado para contener el daño

Entre los primeros participantes en comprometer apoyo estuvo Lido Finance. La entidad colaboradora de su ecosistema, Lido Labs Foundation, presentó una propuesta para asignar hasta 2.500 stETH, valorados en aproximadamente USD $5.700.000 a precios actuales, a un vehículo dedicado de alivio.

Esos recursos, de concretarse, se usarían para reducir el agujero en el respaldo de rsETH y ayudar a evitar liquidaciones forzosas en los mercados de préstamos. En un contexto de fuerte tensión, ese tipo de aportes busca restaurar la confianza y frenar una espiral de retiros que podría contagiar a otros protocolos.

Poco después, EtherFi planteó un plan de 5.000 ETH para, en sus palabras, “proteger a los usuarios y evitar deuda incobrable” en todo DeFi. La señal es relevante porque muestra que el problema dejó de ser visto como un evento aislado y comenzó a tratarse como una amenaza de alcance sectorial.

También se sumó Stani Kulechov, fundador de Aave, quien ofreció una contribución de 5.000 ETH. Kulechov afirmó que Aave es el trabajo de su vida y que el equipo está trabajando sin descanso para encontrar el mejor resultado posible para los usuarios, con la meta de normalizar las condiciones del mercado lo antes posible.

Aave indicó además que anunciará nuevos compromisos cuando queden formalizados. Esto sugiere que el rescate todavía está en construcción y que podrían incorporarse más participantes conforme avance la evaluación del daño real y de las necesidades de recapitalización de rsETH.

Cómo se produjo el exploit y por qué golpeó a Aave

El origen del incidente se remonta a una vulnerabilidad en la integración de KelpDAO con LayerZero. De acuerdo con el informe del incidente citado por CoinDesk, el atacante explotó el sistema de mensajería del puente para acuñar 116.500 tokens rsETH sin respaldo.

En vez de vender esos tokens de inmediato en el mercado, el atacante optó por una estrategia más dañina para el sistema. Depositó casi 90.000 rsETH en Aave como colateral y, con esa garantía deteriorada, tomó prestados alrededor de USD $190.000.000 en ETH y otros activos a través de Ethereum y Arbitrum.

Esa mecánica dejó al protocolo expuesto a un colateral comprometido. Cuando el mercado detectó el problema, comenzó una ola de retiros por parte de prestamistas que buscaron sacar los fondos disponibles antes de que aumentara el riesgo de pérdidas, agravando así el estrés sobre la plataforma.

El impacto fue inmediato. El valor total de los activos en Aave se desplomó en USD $10.000.000.000 después del incidente. Además, el agujero total en el sistema supera los 112.000 rsETH, una cifra que ilustra la magnitud del deterioro y la dificultad de absorberlo sin apoyo externo.

Este episodio también deja una lección importante sobre el riesgo compuesto en DeFi. No basta con evaluar la solidez de un protocolo de préstamos por separado. Cuando un activo puenteado, un sistema de mensajería y una plataforma de crédito quedan interconectados, una sola falla puede propagarse rápidamente por distintas capas del ecosistema.

Fondos congelados, bitcoin y una recuperación más compleja

Antes de que surgiera el actual esfuerzo coordinado, ya se habían dado algunos pasos de contención. A principios de la semana, el consejo de seguridad de Arbitrum congeló 30.766 ETH vinculados al exploit, con un valor aproximado entonces de USD $71.000.000.

Sin embargo, esa acción cubrió solo una parte de los fondos comprometidos. El resto fue puenteado e intercambiado a bitcoin mediante Thorchain, una ruta que complica notablemente cualquier intento de recuperación. Cuando los activos se dispersan entre protocolos y cadenas, el rastreo y la restitución suelen volverse más lentos e inciertos.

Por eso, el énfasis actual de DeFi United no está puesto en perseguir cada dólar robado, sino en estabilizar el sistema desde adentro. La prioridad es recapitalizar rsETH, restaurar la confianza en el colateral y reducir el riesgo de que las pérdidas se conviertan en deuda incobrable para Aave y otros actores conectados.

La estrategia refleja un enfoque pragmático. En algunos episodios de ciberseguridad cripto, la recuperación total resulta poco probable o tarda demasiado. En esos casos, la supervivencia del sistema depende más de la capacidad de absorber el golpe y recapitalizar posiciones críticas que de la posibilidad de revertir cada movimiento del atacante.

Lo que este caso revela sobre DeFi en 2026

El hack de KelpDAO ya es descrito como el mayor robo cripto del año, pero su relevancia va más allá del monto. El episodio reabre preguntas sobre la calidad de las integraciones entre protocolos, los controles de riesgo sobre activos derivados y la velocidad con la que un problema técnico puede transformarse en una crisis de liquidez.

También pone en evidencia la dimensión política y cooperativa de DeFi. Aunque estos sistemas suelen presentarse como infraestructuras automatizadas, en momentos extremos dependen de decisiones humanas, coordinación entre equipos, aportes extraordinarios de capital y medidas de emergencia para contener daños sistémicos.

En el corto plazo, el mercado seguirá observando tres variables. La primera es cuántos recursos logrará reunir DeFi United. La segunda es si el respaldo de rsETH puede estabilizarse sin provocar más ventas forzadas. La tercera es si Aave logra frenar el deterioro de confianza tras la corrida sobre sus depósitos.

Por ahora, el mensaje central es claro: el ecosistema está intentando evitar que un exploit focalizado se convierta en un problema de mayor alcance para las finanzas descentralizadas. Que esa respuesta sea suficiente o no dependerá de la rapidez del rescate, del tamaño final del déficit y de la capacidad del sector para restaurar credibilidad tras uno de los golpes más duros de 2026.