Hackers robaron 292 millones de dólares del protocolo Kelp: impacto en el mercado y próximos pasos
El sábado 18 de abril de 2026, atacantes desconocidos drenaron casi 300 millones de dólares de uno de los protocolos criptográficos más grandes: Kelp. Esto no es solo una cifra en un informe: cientos de miles de usuarios podrían haber perdido el acceso a sus fondos, y las plataformas descentralizadas de préstamos ahora enfrentan el riesgo de impagos masivos. Estos sucesos revelan lo frágiles que pueden ser incluso las partes «más seguras» de la infraestructura cripto.
¿Qué es Kelp y por qué importa?
Kelp es un protocolo de restaking líquido que permite a los usuarios obtener rendimiento sobre su Ether (ETH) sin bloquearlo por completo. En su lugar, emite un token especial, rsETH, que puede usarse en otras aplicaciones —por ejemplo, para tomar préstamos contra él o negociarlo. Es como depositar dinero en un banco, pero recibiendo una tarjeta de débito que puedes usar inmediatamente, en lugar de un librito de ahorros.
El protocolo opera mediante un denominado puente entre cadenas (cross-chain bridge), una tecnología que permite transferir activos entre distintas blockchains (por ejemplo, desde Ethereum hasta Arbitrum). Este puente depende de la infraestructura LayerZero, ampliamente considerada como una de las más seguras del sector.
Cómo se desarrolló el ataque
Los atacantes no explotaron una vulnerabilidad en el código central de Kelp. En cambio, engañaron al sistema de verificación del puente. Imagina enviar un paquete desde Moscú a San Petersburgo, donde la empresa de mensajería exige una confirmación de entrega. Los hackers falsificaron esa confirmación, y el sistema liberó automáticamente la mercancía, aunque el paquete nunca fue enviado.
En concreto: engañaron al puente haciéndole creer que alguien había «quemado» tokens rsETH en la red Arbitrum (un paso que normalmente desbloquea una cantidad equivalente de rsETH en Ethereum). En realidad, no se produjo ninguna quema. Como resultado, se drenaron 116 500 rsETH —por un valor de 292 millones de dólares— de las reservas de Kelp.
Cabe destacar que, antes del ataque, los hackers obtuvieron capital inicial mediante Tornado Cash, un servicio de transacciones anónimas. Esto les permitió pagar las tarifas de gas y ejecutar una secuencia compleja de operaciones.
Los fondos robados se usaron inmediatamente como colateral para nuevos préstamos
Lo más alarmante es que los hackers no simplemente ocultaron los activos robados. Desplegaron al instante rsETH como colateral en populares plataformas de préstamos:
- Aave V3 — tomaron prestados unos 120 millones de dólares en ETH;
- Compound V3 y Euler — tomaron prestados otros unos 116 millones de dólares;
- El valor total prestado superó los 236 millones de dólares.
Estas plataformas no tenían forma de saber que el colateral había sido robado: los oráculos (servicios especializados que cotizan activos) confirmaron el valor de rsETH, y los contratos inteligentes ejecutaron su lógica estándar. Ahora Aave, Compound y otras plataformas corren el riesgo de perder cientos de millones si los hackers no devuelven los préstamos —pero carecen de cualquier incentivo para hacerlo.
Respuesta del ecosistema
Cuarenta y seis minutos después del ataque, el equipo de Kelp congeló contratos clave, evitando que se retiraran otros 100 millones de dólares. Pero las consecuencias ya se habían extendido:
- Aave suspendió todas las operaciones relacionadas con rsETH;
- SparkLend y Fluid también desactivaron el soporte para este token;
- Lido Finance suspendió temporalmente su vault earnETH (aunque sus tokens centrales stETH y wstETH siguen intactos);
- Ethena desactivó sus puentes LayerZero durante seis horas.
Los mercados reaccionaron al instante: AAVE cayó un 18 %, ETH bajó un 2 % y stETH sufrió una caída momentánea del 4 %.
Conclusiones clave
- El ataque no apuntó a vulnerabilidades de código, sino a la lógica de la interoperabilidad entre cadenas, representando un nuevo nivel de amenaza para DeFi.
- Los activos robados se convirtieron en armas para crear posiciones de deuda apalancada, introduciendo riesgos sistémicos en múltiples protocolos de préstamos.
- LayerZero —pese a su reputación— demostró ser vulnerable a la manipulación de mensajes de atestación.
- Kelp evitó una segunda ola de ataques, pero aún no ha anunciado planes de compensación.
- rsETH sigue en circulación, pero la confianza en él ha quedado gravemente erosionada.
Qué significa esto para los usuarios comunes
Si guardas criptomonedas en una billetera bajo tu propia custodia, tus activos están seguros. Pero si usas aplicaciones DeFi —tomando préstamos, haciendo staking o negociando a través de protocolos—, sucesos como este pueden afectar la valoración de tus activos o la disponibilidad de los servicios. Por ejemplo, las tasas de préstamo podrían dispararse y ciertos tokens podrían perder valor de forma temporal. La lección fundamental es que incluso los protocolos «probados en combate» dependen de interdependencias complejas, y un único punto de fallo puede desencadenar un efecto dominó.
— Editorial Team