*Qué pasó con Aave y Kelp DAO el 18 de abril de 2026:*

*El exploit:*

- Atacaron el bridge cross-chain de Kelp DAO falsificando un mensaje

- Drenaron 116,500 rsETH = $292M, el 18% del supply total

- Kelp pausó contratos en 46 min, pero ya era tarde

*Cómo afectó a Aave:*

- El atacante depositó ese rsETH robado como collateral en Aave V3

- Pidió prestados $236M en WETH contra esa garantía

- Al perder rsETH el peg con ETH, quedó una deuda incobrable de $177M a $200M en Aave

*Por qué Aave lo aceptó:*

- DeFi es permissionless: si el activo está listado, el código lo acepta

- No hay revisión humana de origen de fondos

- Esa apertura es su fortaleza y su debilidad

*Consecuencias inmediatas:*

- *Token $AAVE*: cayó 16% a 22%

- *Pool WETH*: 100% utilización, tasas por las nubes, retiros masivos

- *Respuesta*: Aave congeló mercados rsETH en V3 y V4. SparkLend, Fluid, Compound y Euler también pausaron rsETH

*Contexto irónico:*

- Pasó semanas después de lanzar Aave V4 Hub & Spoke

- El DAO acababa de aprobar $25M para Aave Labs con el lema "Aave Will Win"

*¿Sobrevive Aave?*

- Probable que sí: tiene el módulo Umbrella como seguro y experiencia en crisis como Terra/Luna

- Ya dijeron que cubrirían pérdidas si las hay

- *Lección*: En DeFi no existe "demasiado grande para fallar"