Rewards Hub 
Aave, el mayor protocolo de préstamos descentralizados con más de 20.000 millones USD en depósitos antes de esta semana, absorbió aproximadamente 196 millones USD en deuda incobrable debido a un único exploit ajeno a su plataforma. El 19 de abril de 2026, el contrato rsETH de Kelp DAO fue vaciado por 292 millones USD en lo que se convirtió en el mayor exploit DeFi del año. El atacante depositó los rsETH robados en Aave V3 como garantía y tomó prestado WETH contra ellos. El problema es que, tras el exploit, los rsETH ya no estaban respaldados, lo que convirtió la garantía en prácticamente inútil.
En 24 horas, el TVL de Aave cayó de aproximadamente 22.000 millones USD a 15.400 millones, ya que los depositantes retiraron fondos de todos los mercados, incluso de pools sin exposición a rsETH. El token AAVE cayó entre un 16% y un 20%, dependiendo del exchange. Además, la reserva de seguridad Umbrella del protocolo, diseñada precisamente para situaciones como esta, podría no cubrir completamente el déficit de 196 millones USD.
¿Cómo el exploit de Kelp afectó a Aave?
El exploit en Kelp DAO no tuvo relación con los contratos inteligentes de Aave. Kelp es un protocolo de restaking líquido construido en EigenLayer, que emite rsETH representando posiciones de ETH en staking. El 19 de abril, un atacante aprovechó una vulnerabilidad en el mecanismo de retiros de Kelp, sustrayendo aproximadamente 292 millones USD del protocolo. Los rsETH restantes quedaron sin respaldo, cotizando con un gran descuento respecto a su teórico peg con ETH.
Aquí entra Aave en escena. Antes de que el equipo de Kelp pudiera congelar los tokens comprometidos, el atacante depositó una gran cantidad de rsETH robados en Aave V3 como garantía y tomó prestado WETH. El oráculo de Aave seguía valorando rsETH según su precio previo al exploit, ya que el feed de Chainlink aún no reflejaba la devaluación. Cuando la gobernanza de Aave congeló los mercados rsETH en V3 y V4, el atacante ya había extraído el WETH prestado, dejando a Aave con una garantía que valía una fracción de su valor original.
El resultado: aproximadamente 196 millones USD en deuda incobrable concentrada en el par rsETH-WETH. No es una pérdida hipotética, sino una deuda real que el protocolo debe a los depositantes que proveyeron el WETH prestado y retirado.
¿Por qué se retiraron 6,6 mil millones USD de Aave en 24 horas?
El colapso del TVL es lo que debería preocupar más a los usuarios de DeFi que la deuda incobrable en sí. La deuda quedó aislada en el par rsETH-WETH de mercados específicos, mientras la mayoría de los fondos de Aave no tenían exposición a rsETH. Proveedores de USDC, DAI, wBTC en cadenas no afectadas no estuvieron en riesgo de perder fondos por este exploit.
Sin embargo, los depositantes no esperaron detalles. Al aparecer "Aave" y "deuda incobrable" en titulares, se desató una dinámica propia de pánico bancario: retiros masivos en todos los mercados y cadenas. El TVL cayó de aproximadamente 22 mil millones a 15,4 mil millones USD en unas 24 horas, una salida de 6,6 mil millones que supera por mucho la pérdida real de 196 millones.
Este patrón no es nuevo en DeFi. Cuando Euler Finance sufrió un exploit en marzo de 2023, los retiros se extendieron incluso a plataformas ajenas al incidente. La diferencia ahora es la escala: Aave es el referente institucional para préstamos DeFi. Una retirada masiva de tal magnitud envía una señal que va más allá del TVL de un solo protocolo.
Los retiros también provocaron un efecto secundario: al reducirse los depósitos, las tasas de utilización en los pools restantes aumentaron, lo que elevó los intereses y fomentó más retiros. Este bucle explica por qué la caída del TVL fue tan superior a la pérdida real. Los 6,6 mil millones retirados no son pérdidas, sino usuarios que consideraron que el perfil de riesgo-recompensa había cambiado de la noche a la mañana.
¿Qué sucederá con el déficit de 196 millones USD?
Aave cuenta con un mecanismo específico para estos casos: el módulo de seguridad Umbrella, una reserva financiada por ingresos del protocolo y depósitos en staking de AAVE, destinada a cubrir eventos de deuda incobrable. La duda es si la reserva es suficiente para absorber un impacto de 196 millones USD.
A mediados de abril de 2026, la reserva Umbrella tenía entre 80 y 100 millones USD. Esto deja un posible déficit adicional de unos 96 a 116 millones USD, que deberá cubrirse por otros medios. Activar el módulo Umbrella requiere votación de gobernanza, y la comunidad decidirá cómo desplegar estos fondos.
Si la reserva Umbrella no cubre todo el déficit, la protección recae sobre los holders de stkAAVE: usuarios que apostaron sus tokens como respaldo, obteniendo comisiones a cambio de asumir riesgo de slashing. Es posible una propuesta de gobernanza para recortar un porcentaje de los tokens staked a fin de cubrir el resto de la deuda. Los holders de stkAAVE valoran este riesgo en sus decisiones actuales.
El fundador de Aave, Stani Kulechov, confirmó públicamente que el exploit fue externo a los contratos de Aave: "El protocolo Aave funcionó tal como fue diseñado", enfatizó, subrayando que la vulnerabilidad estaba en el código de Kelp, no en la lógica de préstamos de Aave. Aunque técnicamente es cierto, esta distinción poco consuela a quienes perdieron acceso a su WETH debido a una garantía que resultó ser inútil.
¿Qué indica el precio del token AAVE?
AAVE cayó entre un 16% y un 20% tras conocerse el exploit, pasando de unos 280 USD a un mínimo cercano a 224 USD antes de estabilizarse en torno a 235 USD. La venta se debió a dos temores: el impacto financiero directo de la deuda incobrable y la posibilidad de slashing para los holders de stkAAVE, y el daño reputacional de asociar el mayor protocolo de préstamos DeFi con una pérdida de nueve cifras.
El token se ha recuperado parcialmente, pero sigue por debajo de los niveles previos al exploit. Su evolución dependerá de cómo la gobernanza gestione el déficit. Si la reserva Umbrella cubre la mayor parte y el resto se soluciona mediante slashing controlado, la confianza podría restablecerse más rápido. Si el proceso se prolonga o emergen más deudas por otros tokens de staking líquido, es probable que el precio vuelva a mínimos.
Un dato relevante es la posición de los grandes holders de AAVE. En las primeras 48 horas tras el incidente, los datos on-chain mostraron señales mixtas: algunas carteras de grandes inversores acumularon por debajo de 230 USD, mientras que otras movieron AAVE a exchanges, anticipando ventas. Esta divergencia sugiere que el mercado aún no ha decidido su dirección y que la tendencia dependerá de la claridad de la gobernanza.
Implicaciones para los protocolos de préstamos DeFi
El incidente Kelp-Aave expone una vulnerabilidad estructural común en los protocolos de préstamos DeFi: la dependencia de oráculos para valorar garantías. Si un exploit externo desvaloriza una garantía antes de que el oráculo actualice el precio, el protocolo absorbe la pérdida. Los contratos de Aave funcionaron según lo previsto, pero la seguridad de los depósitos depende, en parte, de la solidez de otros protocolos cuyos tokens son aceptados como garantía.
Esto evidencia el riesgo de composabilidad del restaking, advertido desde el lanzamiento de EigenLayer. Tokens de restaking líquido como rsETH, rswETH y ezETH envuelven posiciones de staking ya complejas en nuevos derivados que luego se usan como garantía en DeFi. Cada capa añade dependencia, y si una falla, todo lo que descansa sobre ella se ve afectado.
Se espera que en las próximas semanas los principales protocolos de préstamos refuercen los requisitos de garantía para tokens de restaking líquido. Compound, MakerDAO y otras plataformas que aceptan derivados similares revisarán sus parámetros de riesgo, y algunas podrían eliminar temporalmente estos tokens de sus listas de garantías.
Para los depositantes, la lección es que los contratos inteligentes auditados protegen frente a exploits en el propio protocolo, pero no frente al riesgo de garantía de protocolos externos. Diversificar entre plataformas reduce el riesgo de un solo protocolo, pero el incidente de Kelp demostró que incluso pools no afectados sufrieron retiros. La verdadera diversificación radica en los tipos de garantías, no solo en las plataformas.
Preguntas frecuentes
¿Aave fue hackeado?
No, los contratos de Aave no fueron comprometidos. La deuda incobrable surgió de un exploit externo en rsETH de Kelp DAO. El atacante usó los rsETH robados como garantía en Aave para pedir prestado WETH y, al perder respaldo rsETH, la garantía quedó sin valor mientras los fondos ya habían sido retirados.
¿Cuánto perdió Aave en el exploit de Kelp?
Aave absorbió unos 196 millones USD en deuda incobrable del par rsETH-WETH. Además, su TVL cayó 6,6 mil millones USD por retiros preventivos, aunque la mayoría de estos no implicaron pérdidas directas.
¿Perderán dinero los holders de stkAAVE?
Es posible. La reserva Umbrella podría no cubrir la totalidad del déficit y la gobernanza podría votar recortar parte de los AAVE en staking para cubrir la diferencia. Este es el riesgo explícito que asumen los holders de stkAAVE a cambio de recibir comisiones. Al 20 de abril, la votación de gobernanza no se ha realizado.
¿Es seguro depositar en Aave después de esto?
Los contratos de Aave permanecen funcionales y no se vieron comprometidos. El riesgo no es de código, sino de las garantías aceptadas en la plataforma. Los usuarios deben verificar qué activos sirven como garantía y considerar que los derivados de restaking introducen riesgos adicionales no presentes en activos como ETH o USDC.
Conclusión
El exploit de Kelp causó 196 millones USD en deuda incobrable y desencadenó retiros de 6,6 mil millones USD en Aave, sin que sus contratos fueran vulnerados. La verdadera fragilidad expuesta es el riesgo de composabilidad en el préstamo DeFi, especialmente por la dependencia de protocolos externos de restaking usados como garantía. La gobernanza deberá decidir en los próximos 7 a 14 días cómo usar la reserva Umbrella y si es necesario el slashing de stkAAVE. Una resolución rápida favorecería la recuperación del TVL. Si la gobernanza se retrasa o surgen problemas con otros tokens de restaking, esto podría llevar a una reevaluación general de las garantías aceptadas por los protocolos de préstamos. Aquellos que refuercen primero sus estándares atraerán el capital más cauteloso.
Este artículo es solo informativo y no constituye asesoría financiera o de inversión. La compraventa de criptomonedas implica riesgos significativos. Investigue siempre antes de operar.
