El Secreto Oculto de DeFi Revelado por Bitfinex

El 18 de abril de 2026, unos hackers le entraron al puente intercadena de Kelp DAO y se aventaron un robo de 116,500 rsETH —que es como el 18% de todo ese token de restaking líquido—, y eso equivale a unos 292 millones de dólares. Sí, mucho billete.

Este fue el hackeo más fregón de DeFi (las finanzas descentralizadas) del año. Pero el caos no paró ahí, porque esto desencadenó un efecto dominó que le pegó a otras plataformas, sobre todo a Aave.

El exchange Bitfinex, famoso por mover bitcoin y otras cryptos, puso atención y el 24 de abril lanzó un análisis donde explica que lo que pasó con Kelp no es solo un robo más. Es una alerta de cómo los errores en DeFi pueden ir de uno a otro sin que nadie se dé cuenta, porque los riesgos están escondidos donde nadie pesca.

¿Qué pasó con Kelp DAO y cómo le afectó a Aave?

Antes de entender la bronca completa, hay que saber cómo fue el hackeo. Kelp DAO emite rsETH, un token que representa ether (ETH) en staking. Para mover ese token de una red a otra, usaban una cosa llamada LayerZero con un sistema donde solo un verificador checaba si todo estaba bien. O sea, confiaban en un solo ojito que todo lo veía.

Los hackers no atacaron el contrato de restaking directo. Lo que hicieron fue meterse a la infraestructura del verificador. Tomaron control de dos nodos RPC que ese verificador usaba, y los cambiaron por otros que mandaban info falsa. Mientras tanto, lanzaron un ataque DDoS contra los nodos buenos para que el verificador solo leyera la info falsa.

¿Qué pasó? Pues que el sistema creyó un mensaje falso que decía “libera los rsETH” como si se hubieran quemado en la red de origen, pero no había pasado nada.

El contrato del puente le hizo caso y soltó la lana. En pocas horas, esos rsETH sin respaldo andaban rodando por todos lados.

Bitfinex nos explica que en menos de un día esos tokens robados se usaron como garantía para pedir préstamos en otras plataformas que no tenían nada que ver con el hackeo original.

El hacker metió esos tokens en Aave —el gigante de los préstamos descentralizados— y pidió prestados unos 190 millones de dólares en wrapped ether (WETH).

Ojo, Aave no fue hackeado. Sus contratos funcionaron como deben, pero les colaron garantías que ya no valían ni tantito.

La cosa explotó rápido. Como contó CriptoNoticias, la tasa de uso de ETH en Aave subió hasta el 100%. El protocolo tuvo que congelar los mercados de rsETH y bloquear los de WETH para no perder más lana.

El token AAVE cayó un 20% en 24 horas y, en solo dos días, salieron 8 mil millones de dólares de la plataforma. Se calcula que las pérdidas por préstamos que no regresaron son más de 100 millones.

rsETH, un token con todo el respeto

Bitfinex también dice que rsETH no es cualquier brochazo. Ese token estaba en muchas plataformas, aceptado por sistemas de riesgo y oráculos, y usado para estrategias fuertes. Era un activo bien chido para todos en el mundo cripto.

Eso es lo que hace peligroso el cotorreo. La “composabilidad” de DeFi —que es cuando un protocolo depende del otro y todo va conectado— es un plus, pero aquí se ve que también puede ser la forma que tiene el problema para viajar de un lado a otro.

Por ejemplo, Arbitrum, una red de capa 2 afectada, tuvo que congelar 30,766 ETH relacionados con este lío. Esa movida muestra que cuando algo falla en DeFi, ya no solo depende del código, sino también de que la gente que toma decisiones (gobernanza) se ponga las pilas, algo que no siempre es fácil ni transparente para un sistema “descentralizado”.

> “Cuando esa infraestructura se cae, el daño no se queda sólo ahí. Se rega a otros mercados que ni siquiera fueron atacados directo, y después la gobernanza hace jugadas que a veces hacen dudar a todos.” > — Bitfinex

Además, esta bronca dice que lo que más puede joder no está a simple vista, sino en lo que hay bajo el agua: la infraestructura que conecta todo ese rollo. Los tokens como rsETH son una promesa de que representan algo real, pero si esa promesa se rompe, y nadie se da cuenta, la fiesta se puede armar fea.

¿Quién se hará responsable?

Entre Kelp y LayerZero siguen echándose la bolita de quién se hizo pato con el problema. LayerZero dice que avisaron a Kelp que usar un solo verificador era un riesgo, y Kelp responde que siguieron la guía oficial de LayerZero. Desde entonces, LayerZero ya dijo que no va a firmar mensajes para apps que trabajen con un solo verificador.

Pero la bronca real está clara: esos rsETH sin respaldo siguieron circulando, y la cagada siguió creciendo.

¿Cuántas otras trampas escondidas tendrá DeFi?

DeFi lleva años construyendo cosas bien chidas y complejas, pero con este culebrón quedó claro que todo puede depender de decisiones que en el momento parecían buenas idea, pero que a la larga no fueron tan buena onda.

Si le pasó a un token con tanto poder y aceptación, la pregunta que nadie quiere hacerse es cuántas otras fallas hay escondidas que podrían explotar cuando menos se espere.

Y pues más vale andar pilas, porque quizás hay más bombas de tiempo esperando a explotar bajo la superficie.