Un hackeo de un proyecto de criptomonedas valorado en cientos de millones desencadenó una fuga de capitales de miles de millones de dólares del sector de finanzas descentralizadas. Esto ha afectado las operaciones de docenas de proyectos de criptomonedas
En menos de 24 horas, $6.2 mil millones en activos, casi el 30% de todos los depósitos de usuarios, fueron retirados de Aave, el mayor protocolo de préstamos en el mercado de criptomonedas. La razón del “éxodo” de clientes fue un hackeo del puente cross-chain Kelp DAO, en el que los atacantes robaron $291 millones. El incidente ha sido vinculado al grupo norcoreano Lazarus Group, que fue acusado a principios de abril de hackear el protocolo de criptomonedas Drift por $280 millones. Ni siquiera hemos llegado a la mitad de 2026, pero los expertos ya lo han evaluado como “probablemente el peor año en términos de hackeos.”
El reciente incidente, si no es el más grande en términos de daños en la historia del mercado de criptomonedas, es uno de los más extensos en términos de la cantidad de protocolos involucrados en la cadena de consecuencias del hack. Desde el inicio de 2026, las pérdidas por hacks de DeFi han totalizado al menos $795 millones. Al menos 30 aplicaciones de finanzas descentralizadas (DeFi) han suspendido o restringido las operaciones del protocolo hasta que se aclaren las circunstancias y se implementen medidas de seguridad. Esta lista incluye proyectos como Aave, Swell, LayerZero, Spark, Curve, Ethena, Morpho y otros.
Es probable que las consecuencias del hack sean más serias que la cantidad de fondos robados. Tanto así que el fundador de Tron, Justin Sun, intentó negociar con los hackers a través de X: “¿Cuánto quieren? Solo no sacrifiquen tanto a Aave como a Kelp DAO por este hack.” Pero, hasta donde se sabe en el momento de la publicación, su oferta no ha recibido respuesta.
Y algunos investigadores vinculan el aumento brusco en el número de ataques exitosos a la aparición de poderosas redes neuronales, en particular Mythos. La inteligencia artificial permite a los hackers encontrar automáticamente vulnerabilidades en contratos inteligentes y escalar ataques a una velocidad sin precedentes.
El Hack de Kelp
El sábado 18 de abril, los atacantes apuntaron al puente cross-chain de Kelp DAO, construido sobre la infraestructura de LayerZero. Al explotar una vulnerabilidad, lograron generar 116,500 rsETH, valorados en $291 millones en ese momento. Este es un token derivado líquido que se puede utilizar técnicamente en operaciones de trading, al igual que los activos de criptomonedas regulares. Sin embargo, a diferencia de la mayoría de los ataques, los hackers no retiraron inmediatamente los fondos en stablecoins, sino que utilizaron los tokens robados para operaciones de préstamos.
El rsETH robado fue depositado en Aave como colateral. Los atacantes luego tomaron prestados activos reales (principalmente Ethereum y su versión envuelta, WETH), creando lo que se conoce como “deuda mala.” Esto impactó inmediatamente en la liquidez del protocolo.
Como resultado, los pools clave de Ethereum y WETH se quedaron efectivamente sin fondos retirables, y los usuarios comunes que anteriormente habían proporcionado liquidez perdieron la capacidad de retirar sus depósitos.
Esta situación se asemeja a una clásica “corrida bancaria”, que es una retirada masiva de fondos por parte de los depositantes de un banco impulsada por el pánico. Esto suele ocurrir debido a dudas sobre la estabilidad financiera del banco, y cuantas más personas intentan retirar efectivo, mayor es la probabilidad de que el banco quiebre.
El jefe de estrategia del proyecto DeFi Spark, bajo el seudónimo monetsupply.eth, señaló que los usuarios comenzaron a pedir prestados fondos utilizando sus depósitos en stablecoin como colateral en un intento de salvar su capital, lo que solo exacerbó el problema.
El mercado reaccionó de manera decisiva. Aunque la capitalización total del mercado de criptomonedas cayó alrededor del 4%, a $2.5 billones desde su pico el día del hack, para la mañana del 20 de abril, aproximadamente el 14% de todos los depósitos de usuarios fueron retirados del sector DeFi durante ese mismo período. La cantidad total de fondos bloqueados en el sector se situó en alrededor de $86 mil millones para la mañana del 20 de abril.
El fundador de Defillama, conocido en X como 0xngmi, señaló que el hack provocó retiros de todos los protocolos de préstamos, incluso en Solana (el hack está vinculado al ecosistema de Ethereum). A partir del 19 de abril, el experto citó cifras que mostraban que se retiraron $6.2 mil millones de Aave, $716 millones de Morpho, $272 millones de Sky, y $76 millones de JupLend.
¿Quién está detrás de los hacks?
Como se supo más tarde, el hack de Kelp no fue posible tanto por fallas en la arquitectura de LayerZero—en la que se basa Kelp—sino más bien por la configuración de seguridad de Kelp. En su análisis oficial, LayerZero señaló explícitamente la falta de cumplimiento de las recomendaciones de seguridad en las configuraciones de los nodos de la red.
Los atacantes comprometieron dos de esos nodos al reemplazar su software y lanzaron un ataque DDoS a los nodos restantes, que redirigieron automáticamente los datos a servidores controlados por los hackers. Los expertos de LayerZero vincularon el ataque al Grupo Lazarus de Corea del Norte, que fue acusado a principios de abril de hackear el protocolo Drift, resultando en el robo de $285 millones. Así, en solo 18 días, el mismo grupo drenó más de $575 millones de DeFi.
Charles Guillemet, CTO de Ledger, enfatizó que “es absolutamente seguro que estos no son hackers novatos”, señalando que “2026 es probablemente el peor año en términos de hacks.”
Pero sin restarle importancia a la seriedad del incidente, los expertos no son tan pesimistas. Mikhail Egorov, fundador del importante protocolo DeFi Curve, ve el incidente como una lección dolorosa pero útil: “La criptomoneda es un entorno duro que ningún banco sobreviviría. Creo que DeFi aprenderá de este incidente y saldrá más fuerte que antes.”
La serie de hacks de DeFi en abril se vio agravada por hacks en plataformas centralizadas. Unos días antes del incidente de Kelp, la exchange de criptomonedas rusa Grinex y su servicio de criptomonedas afiliado TokenSpot fueron hackeados. El daño se estima en $15 millones.