Rewards Hub 
La mayor operación de rescate coordinada en la historia de DeFi está en marcha. El 23 de abril, los proveedores de servicios de Aave lanzaron "DeFi United", un fondo de ayuda interprotocolar destinado a recaudar 100,000 ETH para restaurar el respaldo de rsETH tras el incidente de $292 millones en el puente de Kelp DAO ocurrido el 18 de abril. Al 24 de abril, el fondo ya había reunido aproximadamente 69,534 ETH (unos $161 millones), con contribuyentes destacados de la infraestructura de Ethereum.
Este no es un voto de DAO para reembolsar a usuarios individuales. Es un esfuerzo industrial coordinado para evitar que un solo exploit derive en una crisis sistémica de deuda incobrable en el mayor protocolo de préstamos DeFi, el cual gestiona miles de millones en depósitos de usuarios.
¿Qué ocurrió con Kelp DAO y por qué afecta a Aave?
El 18 de abril a las 17:35 UTC, un atacante explotó el puente de Kelp DAO, operado por LayerZero, para drenar 116,500 rsETH del contrato escrow de Ethereum, equivalente a unos $292 millones en ese momento. El ataque aprovechó una configuración de verificación única: solo un nodo verificador descentralizado de LayerZero debía validar los mensajes entre cadenas. El atacante comprometió dos nodos RPC que alimentaban ese verificador, utilizó un ataque DDoS para forzar el cambio, y engañó al sistema para que aceptara un mensaje fraudulento sobre una quema realizada en Unichain que en realidad no existió.
El verificador comprometido aprobó el mensaje y el contrato del lado de Ethereum liberó 116,500 rsETH a la cartera controlada por el atacante. El mecanismo de pausa de emergencia de Kelp congeló los contratos 46 minutos después, bloqueando dos intentos más valorados en $100 millones, pero el daño inicial ya estaba hecho.
Aquí es donde el problema alcanzó a Aave. El atacante depositó inmediatamente 89,567 rsETH en Aave como garantía y tomó prestados aproximadamente $190 millones en WETH y wstETH en Ethereum y Arbitrum. Los activos prestados eran ETH y tokens envueltos legítimos, pero la garantía consistía en rsETH sin respaldo real. Si estos 89,567 rsETH se liquidan, Aave absorbe la pérdida como deuda incobrable. Estimaciones iniciales del foro de gobernanza de Aave sitúan las pérdidas potenciales entre $123 y $230 millones, dependiendo de cómo Kelp distribuya el déficit entre cadenas.
Quiénes contribuyen a DeFi United y cuánto
La lista de contribuyentes distingue este caso de respuestas previas a exploits en DeFi. Normalmente, los protocolos afectados asumen la pérdida, realizan colectas comunitarias o esperan la devolución. DeFi United es la primera vez que múltiples protocolos unen capital para afrontar las consecuencias de un exploit externo.
Contribuyente | Monto | Estructura |
Aave DAO (propuesta de gobernanza) | 25,000 ETH (~$58M) | Contribución directa de la tesorería de DAO |
Stani Kulechov (personal) | 5,000 ETH (~$11.6M) | Aporte personal del fundador de Aave |
Mantle Network | 30,000 ETH (~$69.6M) | Préstamo a 3 años, rendimiento de Lido +1%, requiere delegar 130K tokens AAVE |
Lido DAO | 2,500 stETH (~$5.8M) | Aporte directo |
EtherFi | No revelado | Participante confirmado |
Ethena | No revelado | Participante confirmado |
Ink Foundation | No revelado | Participante confirmado |
BGD Labs | No revelado | Participante confirmado |
Frax Finance | Aprobación pendiente | Apoyo señalado |
Contribuyentes individuales | Varios | Pequeños aportes múltiples |
Total (al 24 de abril) | ~69,534 ETH | ~$161M recaudados de 100K ETH objetivo |
La propuesta de 25,000 ETH de Aave DAO es el mayor compromiso individual. Si la gobernanza la aprueba, Aave sería el principal contribuyente. El préstamo de 30,000 ETH de Mantle destaca por su estructura: no es una donación, sino un préstamo a tres años con interés de Lido +1%, y exige la delegación de 130,000 tokens AAVE, lo que da a Mantle influencia en la gobernanza a cambio de liquidez.
La contribución personal de 5,000 ETH de Kulechov, fundador de Aave, destaca porque demuestra confianza. Una aportación personal de cerca de $11.6 millones transmite al mercado que el propio fundador considera que el protocolo merece respaldo y que el cálculo es sólido.
Por qué Arbitrum congeló $71 millones por separado
Mientras DeFi United se organizaba, el Consejo de Seguridad de Arbitrum optó por otra vía. Congelaron 30,766 ETH (unos $71 millones) vinculados al exploit, trasladando los fondos a una cartera controlada por la gobernanza. Esto recupera cerca de una cuarta parte del monto drenado.
La congelación se produjo porque el atacante había tomado préstamos en Arbitrum usando los rsETH robados como garantía. El Consejo de Seguridad, un multisig de 12 miembros con poderes de emergencia, votó la congelación antes de que los fondos pudieran salir de la red. Tras el bloqueo, el atacante intentó mover fondos, por lo que el fondo de DeFi United sigue siendo necesario para cubrir el resto del déficit.
Esto genera una dualidad en la recuperación: Arbitrum usó poderes centralizados para retener fondos, mientras que DeFi United se basa en coordinación descentralizada para cubrir el hueco que la intervención centralizada no pudo solventar. Es la primera vez que ambos enfoques operan en paralelo en la industria.
Conexión con Lazarus Group y repercusiones en la seguridad de los puentes
LayerZero atribuye el ataque al Lazarus Group de Corea del Norte, específicamente a la división TraderTraitor. La atribución se basa en la financiación previa vía Tornado Cash diez horas antes del ataque, uso de binarios autodestructivos en la infraestructura atacada, y patrones de consolidación similares a otros exploits vinculados a la RPDC.
Si se confirma, Lazarus Group habría drenado más de $575 millones de DeFi en sólo 18 días de abril de 2026, sumando el exploit de Drift Protocol del 1 de abril con el de Kelp el día 18. Son vectores de ataque diferentes y protocolos distintos, con el mismo actor como origen.
La magnitud de las operaciones de Lazarus en 2026 podría superar los $1.7 mil millones reportados en 2022, que se consideraba su año pico.
El cruce de reproches entre Kelp y LayerZero es relevante: LayerZero afirma que la configuración con verificador único fue decisión de Kelp, algo que habían advertido. Kelp replica que el problema proviene de la configuración por defecto de LayerZero. Probablemente la verdad esté entre ambos, pero para usuarios y traders de DeFi la conclusión práctica es clara: cualquier protocolo que use un puente con un solo punto de fallo en la verificación asume riesgos no reflejados por el mercado. Un sistema con múltiples verificadores independientes habría requerido al atacante comprometer varios nodos simultáneamente, lo que habría dificultado el ataque.
¿Qué pasa si DeFi United alcanza los 100,000 ETH?
El objetivo de 100,000 ETH no es arbitrario: es la cantidad estimada para restablecer el respaldo completo de rsETH y que cada tenedor pueda reclamar 1:1 contra ETH. Si no se logra, rsETH cotizará con descuento permanente, Aave asumirá deuda incobrable y los protocolos que aceptaron rsETH como colateral deberán registrar pérdidas.
Si se alcanza la meta, el respaldo de rsETH se restablece, la deuda de Aave se absorbe por el fondo y el ecosistema DeFi evita una crisis de confianza que podría desencadenar retiros masivos. El valor total bloqueado en Aave cayó $6 mil millones tras el exploit por precaución. Restaurar la confianza es tan importante como cubrir el déficit en ETH.
El impacto se sintió de inmediato en el mercado DeFi: el TVL total cayó más de $13 mil millones en dos días, impulsado por retiros de protocolos sin exposición directa a rsETH. Eso es un caso de contagio de miedo, y DeFi United busca tanto frenar ese contagio como cubrir el agujero financiero.
Para los usuarios de DeFi que no poseen rsETH, las implicaciones siguen siendo relevantes: Aave es el mayor protocolo de préstamos y su salud afecta tasas de interés, disponibilidad de colateral y liquidez en todos los mercados donde opera. Si el balance de Aave sufre un daño permanente, los costes de préstamo subirán y los depositantes verán menores rendimientos mientras el protocolo cubre el déficit.
Si el fondo no alcanza la meta, el déficit restante recaerá en Aave. La tesorería y el módulo de seguridad del protocolo deberán absorber la diferencia, lo que podría provocar ventas de tokens AAVE por el módulo y presión bajista sobre el token de gobernanza.
Preguntas frecuentes
¿Qué es DeFi United?
DeFi United es un fondo de ayuda interprotocolar lanzado por proveedores de servicios de Aave para recaudar 100,000 ETH y restaurar el respaldo de rsETH tras el exploit de Kelp DAO. Entre los participantes se encuentran Aave DAO, Lido, Mantle, EtherFi, Ethena y otros. Al 24 de abril, el fondo había reunido cerca de 69,534 ETH.
¿Cómo ocurrió el exploit de Kelp DAO?
El atacante comprometió nodos RPC que alimentaban el verificador único de LayerZero, generando un mensaje fraudulento entre cadenas y drenando 116,500 rsETH ($292 millones) del escrow de Ethereum. Los tokens robados se depositaron luego en Aave como garantía para préstamos de $190 millones en activos legítimos.
¿Por qué Aave está involucrado si el exploit fue en Kelp?
El atacante usó 89,567 rsETH sin respaldo como colateral en Aave para tomar prestados unos $190 millones en WETH y wstETH. Si estas posiciones se liquidan, Aave afronta la pérdida como deuda incobrable, ya que el colateral carece de respaldo. Las pérdidas potenciales varían entre $123 y $230 millones.
¿Es este el mayor rescate DeFi realizado?
En todos los aspectos, sí: es el mayor rescate coordinado en la historia de DeFi. Antes, los protocolos afectados asumían sus pérdidas, organizaban campañas para recuperar fondos o colectas comunitarias. DeFi United es la primera vez en que grandes protocolos suman decenas de miles de ETH para absorber el impacto de un exploit externo.
Conclusión
DeFi United ha reunido cerca del 70% de su objetivo de 100,000 ETH en menos de una semana, con Aave, Mantle, Lido, Kulechov y otros sumando capital para restaurar el respaldo de rsETH. Las próximas 48-72 horas serán decisivas. Si la gobernanza de Aave aprueba la propuesta y se cierra la brecha, DeFi evitaría su primera crisis sistémica de deuda incobrable y demostraría que la coordinación descentralizada funciona a gran escala cuando es necesario. Si no se alcanza la meta, el módulo de seguridad de Aave absorbería el golpe y los titulares de AAVE asumirían la dilución, elevando dudas sobre la gestión de riesgos de colateral en todo el ecosistema. La atribución a Lazarus Group añade una dimensión geopolítica que atraerá la atención de reguladores, pues un actor estatal drenando $575 millones de DeFi en 18 días podría acelerar nuevas regulaciones de seguridad en puentes. Para quienes participan en protocolos DeFi de préstamos, el desenlace de DeFi United es el indicador clave esta semana.
Este artículo tiene fines informativos y no constituye asesoramiento financiero ni de inversión. Operar con criptomonedas implica riesgos significativos. Realice siempre su propia investigación antes de tomar decisiones de trading.
