Post-mortem : Cómo ocurrió el hackeo de $272 millones en rsETH

​El 18 de abril de 2026, la naturaleza interconectada de las finanzas descentralizadas transformó una vulnerabilidad externa en una crisis sistémica catastrófica para Aave. Un ataque sofisticado en la infraestructura de cadena cruzada de Kelp DAO resultó en el robo de más de $292 millones en tokens de restaking líquidos. Al weaponizar los parámetros de riesgo agresivos de Aave, los atacantes extrajeron $272 millones en WETH, dejando a los depositantes comunes enfrentando pérdidas permanentes y exponiendo las fallas fatales de la arquitectura DeFi hiper-composable.

​❍ La brecha del puente LayerZero

​La crisis comenzó externamente en el puente adaptador de cadena cruzada de Kelp DAO, impulsado por la infraestructura LayerZero.

​La manipulación: Los atacantes usaron cargas útiles de mensajes falsificados para manipular la capa de verificación compleja del puente, otorgándose permisos a nivel de administrador.

​La ganancia: Esta manipulación técnica les permitió drenar 116,500 tokens rsETH directamente a una billetera controlada por el atacante.

​Escala masiva: Esta suma representaba aproximadamente el 18 por ciento de la oferta circulante global de rsETH, con un valor de más de $292 millones.

​❍ Weaponizando el modo de eficiencia de Aave

​Los atacantes dirigieron inmediatamente los pools de liquidez profunda en Aave, depositando el rsETH robado como garantía en las implementaciones V3 y V4.

​Extracción máxima: Al utilizar el Modo de Eficiencia de Aave (E-Mode), que categoriza rsETH como altamente correlacionado con ether nativo, los atacantes aseguraron una relación préstamo-valor del 93 por ciento. Bajo los parámetros de riesgo estándar, este límite de préstamo habría sido estrictamente limitado al 72 por ciento.

​La extracción: Esta parametrización agresiva permitió la extracción de $272 millones en WETH contra la garantía no respaldada. La configuración E-Mode les permitió extraer $62 millones más de lo que los ajustes estándar habrían permitido.

​Utilización al 100 por ciento: A medida que el valor de mercado real de rsETH colapsó instantáneamente, la lógica interna de Aave retrasó las actualizaciones de precios. El protocolo absorbió la garantía sin valor, llevando la tasa de utilización del pool de WETH exactamente al 100 por ciento y bloqueando a los depositantes legítimos fuera de sus fondos.

​❍ Fallos de paraguas y los depositantes enfrentan recortes

​Los Guardianes de Aave ejecutaron protocolos de emergencia, deteniendo todos los mercados de rsETH y wrsETH para contener la contagio. Esto activó Umbrella, el sistema automatizado de gestión de riesgos en cadena que reemplazó al Módulo de Seguridad heredado a finales de 2025.

​La falta de fondos: Umbrella quemó automáticamente sus activos apostados para cubrir la deuda incobrable, pero la bóveda solo tenía $50 millones en aWETH disponibles para recortes inmediatos.

​La brecha de financiamiento: Con una deuda incobrable total estimada entre $177 millones y $280 millones, el protocolo enfrentaba una brecha de financiamiento irresoluble que oscilaba entre $127 millones y $150 millones.

​Recortes obligatorios: La documentación oficial del protocolo indica que, una vez que los activos colaterales de Umbrella se quemen por completo, el déficit restante recae directamente sobre los depositantes de WETH comunes. Estos usuarios ahora enfrentan un recorte obligatorio, que significa una pérdida parcial permanente de sus depósitos principales.

​Algunas reflexiones aleatorias 💭

​Este evento es una lección brutal sobre los peligros de la composabilidad en DeFi. Los contratos inteligentes principales de Aave se ejecutaron a la perfección, pero el protocolo aún fue llevado a sus rodillas. La explotación se originó completamente fuera del ecosistema de Aave en el puente de Kelp DAO, pero la parametrización interna agresiva de Aave sirvió como el catalizador final para la extracción. Cuando un protocolo depende enteramente de lógica matemática sin supervisión humana conservadora, los casos extremos se convierten en fallos sistémicos.

La decisión de otorgar una relación préstamo-valor del 93 por ciento en un activo derivado como rsETH priorizó la eficiencia de capital sobre la supervivencia. Para los depositantes comunes de WETH que se vieron obligados a absorber un recorte masivo, la diferencia entre un contrato inteligente impecable y un modelo de riesgo defectuoso no ofrece ninguna tranquilidad.

#KelpDAOBridgeHacked