Lo que vimos no fue un hack “clásico” donde alguien roba directamente fondos de un contrato mal programado. Fue algo más sofisticado: el atacante logró engañar al sistema que verifica movimientos entre blockchains (cadenas de bloques), permitiendo que se crearan tokens sin respaldo real.
En concreto, se generaron aproximadamente 292 millones de dólares en rsETH, un activo que debería estar respaldado por Ethereum (ETH). El problema es que ese respaldo no existía. Era como imprimir dinero sin tener colateral en el banco.
Esto no solo afectó a Kelp DAO, sino que desencadenó un efecto dominó en todo el ecosistema DeFi (finanzas descentralizadas), especialmente en protocolos como Aave.
¿Qué es Kelp DAO y qué es rsETH?
Kelp DAO es un protocolo de liquid restaking (reaprovechamiento de staking líquido). Esto significa que tú depositas ETH y recibes a cambio un token como rsETH que representa ese depósito. Ese token puede usarse en otras aplicaciones DeFi mientras tu ETH sigue generando rendimiento. Es una forma de maximizar capital.
El problema aparece cuando ese token pierde su respaldo. Porque si el sistema crea rsETH sin que haya ETH detrás, todo el modelo se rompe.
¿Qué papel jugó LayerZero en todo esto?
LayerZero es una infraestructura que permite enviar mensajes entre blockchains. Es decir, hace posible que un token “viaje” de una red a otra.
Para que esto funcione, necesita verificar que una acción ocurrió realmente en la cadena de origen. Aquí entran las DVN (Decentralized Verifier Network, red verificadora descentralizada) y los RPC (Remote Procedure Call, nodos que consultan datos de la blockchain).
El ataque no rompió directamente LayerZero, pero sí manipuló la información que este sistema utilizaba para validar operaciones.
¿Cómo logró el atacante engañar al sistema?
El atacante comprometió los RPCs, es decir, las fuentes de información que la red verificadora usaba para comprobar si una transacción era válida.
Lo más interesante es que el software malicioso tenía “doble personalidad”:
- A la red verificadora le decía: “sí, esta transacción ocurrió”.
- Al resto del sistema le decía la verdad, evitando levantar sospechas.
Además, lanzó ataques de saturación (DoS, Denial of Service) contra los RPCs sanos, forzando al sistema a confiar en los nodos comprometidos. Esto permitió validar una transferencia falsa y crear tokens sin respaldo.
¿Por qué esto afectó a Aave?
Aquí viene lo más crítico.
El atacante tomó esos rsETH falsos y los usó como colateral (garantía) en Aave, un protocolo de préstamos. A cambio, pidió prestado WETH (Wrapped Ethereum, versión tokenizada de ETH).
Aave aceptó ese colateral porque parecía legítimo. Pero no lo era.
Resultado: el protocolo prestó dinero real contra una garantía falsa. Esto genera lo que se llama bad debt (deuda incobrable).
¿Qué es la “bad debt” y por qué es tan peligrosa?
La bad debt ocurre cuando alguien pide prestado y la garantía que dejó no cubre la deuda. En este caso, el colateral era rsETH sin respaldo. Así que Aave se queda con un agujero financiero.
Esto es crítico en DeFi porque estos sistemas dependen de que las garantías sean reales y líquidas.
Como dijo Warren Buffett:
“Solo cuando baja la marea descubres quién estaba nadando desnudo.”
Aquí la marea bajó… y dejó al descubierto un problema estructural.
¿Por qué se contagió todo el ecosistema DeFi?
Porque DeFi está completamente interconectado.
El rsETH no solo vive en Kelp:
- Se usa como colateral
- Está en pools de liquidez
- Forma parte de estrategias complejas
- Circula en múltiples blockchains
Cuando el mercado deja de confiar en ese activo, todos los protocolos que lo usan entran en modo defensa:
- congelan operaciones
- bloquean depósitos
- revisan riesgos
Esto genera un efecto dominó.
¿Cuál fue el error principal del sistema?
Uno de los puntos más criticados fue la configuración de seguridad. Kelp usaba una validación tipo 1/1, es decir, un solo verificador. Si ese falla, todo falla.
No había redundancia teniendo solo un single point of failure (punto único de fallo). Un sistemas que manejan cientos de millones, esto es un riesgo enorme de seguridad que mejora la eficiente pero se compromete mucho.
¿Quién tiene la culpa: Kelp o LayerZero?
La realidad es que parece un caso de responsabilidad compartida.
- LayerZero pudo tener debilidades en su infraestructura o en cómo se protegían los RPCs.
- Kelp eligió una configuración de seguridad demasiado débil.
Ambos factores combinados permitieron el ataque.
Como diría Benjamin Graham:
“El riesgo no viene de no saber lo que haces, sino de no entender completamente lo que haces.”
¿Qué está pasando ahora con Aave?
Aave tiene que decidir cómo gestionar la pérdida. Se barajan varios escenarios:
- Repartir la pérdida entre usuarios
- Aislarla en ciertas redes
- Usar la tesorería del protocolo
- Activar mecanismos de seguridad (como el “Safety Module”)
Ninguna opción es perfecta. Todas implican asumir costes.
Mientras tanto, muchos usuarios están retirando liquidez, lo que ha provocado una caída significativa del TVL (Total Value Locked, valor total bloqueado).
¿Qué lecciones deja este hack?
Este caso deja varias enseñanzas clave:
- Los puentes cross-chain siguen siendo el mayor riesgo en DeFi.
- La seguridad no es solo el smart contract, también es la infraestructura.
- La descentralización mal implementada puede ser una ilusión.
- El riesgo sistémico en DeFi es real y puede propagarse rápido.
💰📊 Gracias por llegar hasta aquí.✨💬 No fue solo un hack: cuando falla la confianza en DeFi, todo se tambalea. Ahora toca reconstruir mejor.
Recuerda: Piensa en GRANDE, piensa en CRIPTO. 🚀 ¡El futuro está en tus manos!
Piensa en CRIPTO.