Rewards Hub 
El valor total bloqueado (TVL) en DeFi cayó de aproximadamente 99.000 millones de dólares a 85.000 millones entre el 18 y el 20 de abril, marcando el descenso más pronunciado en dos días en más de un año. El detonante fue un exploit de 292 millones de dólares en Kelp DAO, un protocolo de liquidez restaking cuyo token rsETH estaba integrado como colateral en al menos nueve mercados de préstamos. Cuando el atacante agotó el contrato puente de Kelp, rsETH perdió su paridad y el colateral de miles de millones en préstamos DeFi se evaporó en cuestión de horas. Solo Aave registró 6.600 millones de dólares en retiros mientras los usuarios retiraban fondos para evitar una mayor propagación.
El dato relevante para cualquier usuario de DeFi no es solo los 292 millones de la vulnerabilidad, sino los 15 meses que pasaron desde que ingenieros de LayerZero informaron que la arquitectura de puente de validador único de Kelp DAO representaba un riesgo crítico. Kelp reconoció la advertencia, sin realizar modificaciones.
Funcionamiento del exploit de Kelp
El atacante se dirigió al puente cross-chain de Kelp DAO, que utilizaba un único validador para confirmar transacciones entre la red principal de Ethereum y la capa de restaking del protocolo. El equipo de seguridad de LayerZero advirtió en enero de 2025 que esta arquitectura suponía un único punto de fallo: comprometer la clave del validador permitía el control total del puente.
El 18 de abril, el atacante explotó exactamente esa debilidad. Obtuvo acceso a la clave del validador mediante lo que los primeros informes forenses describen como un ataque de ingeniería social a un miembro del equipo de Kelp, luego acuñó rsETH no respaldados en la red principal de Ethereum. Los tokens acuñados se depositaron inmediatamente en protocolos de préstamos como colateral para pedir prestados ETH y stablecoins, que luego se movieron a través de varias cadenas antes de que los sistemas de monitorización de Kelp activaran una alerta.
El total extraído fue de 292 millones de dólares, pero el impacto fue mucho mayor porque rsETH se utilizaba como infraestructura fundamental en la pila de préstamos DeFi, no como un token aislado.
Por qué 292 millones provocaron 14.000 millones en pérdidas
El verdadero impacto del exploit no dependía de la cantidad robada, sino de la integración de rsETH en el ecosistema DeFi.
Los tokens líquidos de restaking como rsETH están diseñados para ser composables. Se depositan ETH, se recibe rsETH y este se utiliza como colateral para solicitar nuevos préstamos. Esto incrementa la eficiencia de capital, pero también multiplica el riesgo sistémico en cada capa añadida.
Cuando el exploit rompió la paridad de rsETH, nueve protocolos congelaron sus mercados de rsETH. Los prestatarios que usaban rsETH como colateral enfrentaron liquidaciones inmediatas o, peor aún, descubrieron que no podían cerrar posiciones debido al congelamiento de los mercados. El temor era justificado: si rsETH podía perder su paridad, cualquier posición colateralizada con rsETH quedaba sin garantías.
Aave fue el protocolo más afectado individualmente. Los usuarios retiraron 6.600 millones de dólares en 36 horas, no porque Aave sufriera el exploit directamente, sino porque los depositantes dejaron de confiar en el valor del colateral rsETH. Cuando la calidad del colateral es incierta, los usuarios suelen retirar primero y preguntar después.
| Protocolo | Medida tomada | Retiros estimados |
|---|---|---|
| Aave | Mercados rsETH congelados, depósitos pausados | 6.600M USD |
| Compound | Voto de gobernanza para eliminar rsETH | 1.200M USD |
| Morpho | Ajuste automático de parámetros de riesgo | 890M USD |
| Euler | Bóvedas rsETH congeladas | 740M USD |
| Spark (MakerDAO) | rsETH suspendido como colateral | 620M USD |
El resto de protocolos actuaron en cuestión de horas y para el 20 de abril, el TVL de DeFi se redujo a aproximadamente 85.000 millones, el nivel más bajo desde abril de 2025 y cerca del 50% de los máximos de octubre de 2025.
La advertencia ignorada durante 15 meses
Aquí es donde el incidente deja de ser un simple hackeo para convertirse en un fallo de gobernanza.
En enero de 2025, el equipo de seguridad de LayerZero publicó un informe interno sobre puentes de restaking líquidos, incluyendo el de Kelp. Una investigación posterior reveló que LayerZero señaló explícitamente que la configuración de validador único era "críticamente insuficiente para asegurar activos superiores a 50 millones de dólares". El puente de Kelp ya custodiaba unos 180 millones.
LayerZero recomendó un conjunto de validadores multi-firma con mínimo cinco validadores independientes y un umbral de 3 de 5 para firmar transacciones. Se incluyeron especificaciones técnicas y apoyo para la implementación. El equipo de Kelp confirmó la recepción del informe en febrero de 2025.
Quince meses después, el puente seguía operando con un único validador. El protocolo creció de 180 a más de 400 millones en TVL sin cambiar la arquitectura ya señalada como insuficiente.
La respuesta de la comunidad DeFi ha sido predecible y fundada: se exigen auditorías de seguridad obligatorias, seguros para puentes y mínimos de validadores en los foros de gobernanza. Sin embargo, estos debates ya surgieron tras otros exploits relevantes como el de Wormhole en 2022 y Multichain en 2023.
Qué nos indica la caída de TVL sobre el riesgo en DeFi
El dato de 85.000 millones en TVL es relevante más allá del impacto inmediato.
El TVL de DeFi alcanzó su máximo de casi 170.000 millones en octubre de 2025, durante el auge del restaking y el staking líquido. Antes del exploit, ya había descendido un 42% a causa de la debilidad del mercado y la menor actividad de yield farming. La vulnerabilidad de Kelp aceleró el descenso un 14% en solo dos días, situando el TVL en niveles no vistos desde la recuperación tras el bear market de 2024.
La composición de los retiros es tan importante como la cifra total. Según datos de DeFiLlama, los mayores retiros provinieron de protocolos de préstamos (Aave, Compound, Euler), no de DEXs ni agregadores de rendimientos. Esto indica una crisis de confianza en el colateral más que una crisis de liquidez. Los operadores aún intercambian tokens en Uniswap y Curve, pero no están dispuestos a prestar en pools con colateral de calidad incierta.
A modo de comparación, tras el colapso de Terra/Luna en mayo de 2022, el TVL cayó unos 30.000 millones. La caída de 14.000 millones impulsada por Kelp es menor en términos absolutos, pero similar en proporción a la base inicial. Y el mecanismo también es comparable: un token que debía mantener su paridad la pierde y los protocolos que lo habían integrado como colateral sufren una reacción en cadena.
Medidas actuales de los protocolos DeFi
La respuesta de los principales protocolos ha ido más allá de congelamientos de emergencia y ahora incluye cambios estructurales.
En el foro de gobernanza de Aave se debaten tres propuestas: limitar cualquier derivado de staking líquido al 15% del colateral total, exigir cobertura de seguro para todos los tokens aceptados como colateral y requerir auditorías externas trimestrales a puentes, eliminando automáticamente los tokens que no publiquen auditoría a tiempo.
El protocolo Spark de MakerDAO va más allá: solo aceptará tokens líquidos de restaking como colateral si el puente subyacente utiliza al menos una multi-sig 5-de-9. Esto descalificaría a la mayoría de tokens líquidos de restaking actuales.
Compound aprobó en menos de 18 horas la eliminación definitiva de rsETH y añadió un período de revisión obligatoria de 72 horas para nuevos colaterales.
Estos cambios son relevantes, pero reactivos. El patrón es habitual en DeFi: una vulnerabilidad expone un riesgo sistémico previamente identificado, los protocolos corrigen el vector explotado, pero el siguiente exploit se produce por otra vía no parcheada.
Preguntas frecuentes
¿Qué originó la caída de 14.000 millones en el TVL de DeFi?
Un exploit de 292 millones de dólares en el contrato puente de Kelp DAO que provocó la pérdida de paridad del rsETH. Al usarse rsETH como colateral en nueve protocolos, la ruptura desencadenó retiros masivos por pérdida de confianza.
¿Se podía haber evitado el exploit de Kelp?
Según la evidencia disponible, sí. LayerZero advirtió sobre la insuficiencia del puente con validador único 15 meses antes del incidente y recomendó adoptar una multi-firma. Kelp reconoció la advertencia pero no implementó cambios pese a crecer en TVL.
¿Es probable que el TVL de DeFi se recupere pronto?
La recuperación dependerá de la rapidez con la que los protocolos adopten nuevos estándares de colateral y de las condiciones generales del mercado. Tras incidentes similares, la restauración de confianza y TVL suele tomar meses.
¿Debo retirar mis fondos de protocolos de préstamos DeFi?
El riesgo se concentra en protocolos que aún mantienen tokens líquidos de restaking como colateral sin actualizar sus estándares de seguridad. Los que ya han congelado o eliminado rsETH y endurecido requisitos han abordado la vulnerabilidad inmediata. Antes de decidir, revise contra qué colateral están prestados sus activos.
Conclusión
DeFi ha sufrido su peor crisis de colateral desde Terra/Luna, y el aspecto más relevante no es el monto robado, sino que la vulnerabilidad fue advertida y desatendida durante 15 meses, período en el que el protocolo triplicó su tamaño. El TVL en 85.000 millones marca un mínimo de 12 meses y la recuperación de la confianza podría demorar más que las correcciones técnicas.
Los protocolos que implementan límites estrictos de colateral, auditorías obligatorias y requisitos multi-sig avanzan en la dirección adecuada, pero estos son remedios para el exploit más reciente. El reto estructural persiste: la composabilidad de DeFi es fortaleza y riesgo a partes iguales. Hasta que la industria eleve sus estándares de seguridad al nivel de sus cadenas interconectadas, cada derivado de staking líquido es un posible rsETH en espera.
Siga las votaciones de gobernanza de Aave en las próximas semanas. Si se aprueba el límite del 15% de colateral, marcará un referente sectorial y la primera defensa estructural relevante contra exploits de este tipo.
Este artículo es solo para fines informativos y no constituye asesoramiento financiero o de inversión. El comercio con criptomonedas implica riesgos significativos. Realice siempre su propia investigación antes de operar.
