Lección de 292 millones de dólares: sobre la seguridad de DeFi tras el robo de rsETH

Escribir: Liu Jiaolian

Introducción: Una coincidencia afortunada

El 18 de abril de 2026, el puente cross-chain rsETH de Kelp DAO fue atacado, y aproximadamente 292 millones de dólares en activos fueron robados. El atacante depositó el rsETH robado en Aave, prestando ETH, lo que provocó pánico por las deudas incobrables. La utilización de ETH en Aave se disparó instantáneamente al 100%, y los fondos de innumerables depositantes inocentes quedaron bloqueados.

Y Jiaolian, hace solo dos meses, el 5 de febrero, transfirió todos sus depósitos en Aave a Spark. La motivación fue simple: la tasa de rendimiento de Spark era solo un poco más alta que la de Aave. Como resultado, evitó accidentalmente esta crisis.

Esto no fue una previsión, ni un juicio, sino pura suerte. Pero esta suerte hizo que Jiaolian comenzara a reflexionar seriamente sobre una pregunta: ¿podremos ser tan afortunados la próxima vez?

Aprovechando este incidente, Jiaolian revisó las trampas que ha pisado, las lecciones que ha aprendido y sus reflexiones finales en el mundo DeFi, que se presentan a continuación.

I. 18.04.2026: Cómo una mariposa puede agitar sus alas

1.1 El ataque en sí mismo

El 18 de abril a las 17:35 UTC, una wallet controlada por un atacante llamó al contrato EndpointV2 de LayerZero, activando el contrato de puente cross-chain de Kelp DAO, y liberó 116,500 rsETH a la dirección del atacante. Según el precio de mercado en ese momento, esto valía aproximadamente 292 millones de dólares. [1]

La wallet del atacante había obtenido fondos 10 horas antes a través del pool de Tornado Cash de 1 ETH, una técnica común en ataques DeFi para mezclar fondos.

La reacción de Kelp DAO no fue lenta. 46 minutos después, su wallet de firma múltiple de emergencia ejecutó pauseAll, congelando los contratos principales y deteniendo dos intentos posteriores de robar aproximadamente 100 millones de dólares. [1]

1.2 La transmisión del riesgo a Aave

Pero la verdadera tormenta no estuvo en Kelp DAO, sino en el protocolo de préstamos más conocido, Aave.

El atacante depositó el rsETH robado en Aave como colateral y prestó ETH. Este paso convirtió el ataque externo en un riesgo de deuda incobrable dentro de Aave. [2]

El mercado reaccionó rápidamente. Las ballenas comenzaron a retirar ETH de Aave. Según monitoreo de Lookonchain, la utilización de ETH en Aave alcanzó rápidamente el 100%, lo que significa que casi no quedaba ETH disponible para retiros o nuevos préstamos. [2]

Incluso los usuarios inocentes que nunca tocaron rsETH y solo depositaron ETH quedaron con sus fondos bloqueados.

Este es el costo del préstamo en pools compartidos: no necesitas tocar directamente la manzana podrida, solo estar en el mismo pool, y te afectará.

1.3 Riesgos inherentes a los préstamos no aislados

Michael Egorov, fundador de Curve, tuiteó después del incidente: “Este es el riesgo inherente al modelo de préstamos no aislados, que todos aman. Es escalable, pero más arriesgado. La gestión del riesgo es clave, y Aave ha hecho un buen trabajo en este aspecto.” [3]

Su insinuación fue que: este problema no es exclusivo de Aave, sino inherente a este modelo.

Jiaolian opina que esta evaluación es correcta. Pero el problema es que los usuarios comunes tienen dificultades para prever cuándo el riesgo se convertirá en realidad.

II. Momento de contradicción: escuchar palabras vs actuar

2.1 División entre consuelo y acción

La oficina de Aave afirmó que la situación estaba bajo control y que el módulo de seguridad Umbrella podía actuar como primera línea de defensa. [1]

Pero lo que realmente generó discusión fue la actuación de Andre Cronje (AC).

En un tuit, AC dijo: “Aave tiene 7 mil millones de dólares en depósitos de ETH, solo se han retirado 100 millones, el impacto es mínimo. Incluso si hay deuda incobrable, el módulo de seguridad y el token AAVE son la primera línea de defensa.” [4]

Al mismo tiempo, su protocolo PUT, fundado por él, retiró todos los ETH de Aave. Su explicación fue: “El objetivo principal de PUT es la liquidez de los usuarios. La liquidez disponible en Aave cayó por debajo de nuestro umbral mínimo, pero eso solo activa reglas, no significa que Aave vaya a quebrar.” [4]

Desde el punto de vista de las reglas, no hizo nada mal. Pero desde la perspectiva de un observador, esto da la impresión de: decir una cosa, hacer otra.

2.2 La historia siempre rima

Esto no es la primera vez.

En mayo de 2022, Luna colapsó. Do Kwon, tras la desanclaje de UST, repetía que no había que preocuparse, que el algoritmo se recuperaría. Quienes confiaron en él, quedaron atrapados.

En noviembre de 2022, FTX quebró. SBF, tras la corrida, dijo que los activos estaban bien, que FTX era saludable. Quienes le creyeron, también quedaron atrapados.

Un amigo cercano a Jiaolian tenía muchos fondos en FTX. Cuando vio que había tanto pánico como consuelo, optó por retirar fondos para protegerse. Después dijo: “No sabía si FTX quebraría, pero sabía que si eso pasaba, no podría escapar. Así que preferí salir primero.”

Este razonamiento, para Jiaolian, es lo que los usuarios comunes deben recordar en una crisis: “Un caballero no construye muros peligrosos.” No sabes si el muro caerá, solo sabes que no necesitas estar debajo.

III. Las dos experiencias de Jiaolian: de estar atrapado a la suerte

3.1 La primera: Compound bloqueado

En noviembre de 2025, Jiaolian depositó algo de USDC en Compound. No tocó deUSD ni sabía qué era xUSD.

Pero el equipo de xUSD admitió el 4 de noviembre que tenían un déficit de 93 millones de dólares, y que xUSD se desanclaba. La deUSD también se desancló. Compound aceptaba deUSD como colateral. A las 5 de la mañana, suspendieron las retiradas. [5]

Los fondos de Jiaolian quedaron bloqueados.

Ese día, escribió en un artículo: “Podría haber retirado con calma y anticipación, un día antes, para evitar riesgos. Pero de repente, suspendieron las retiradas, y no tuve ni siquiera la oportunidad de huir apresuradamente.” [5]

Afortunadamente, la pérdida fue solo de unos pocos millones de dólares, y el módulo de seguridad cubrió la situación, sin mayores problemas.

Pero Jiaolian aprendió una lección: el riesgo puede transmitirse. No necesitas tocar directamente la manzana podrida, solo estar en el mismo pool, y te afectará.

3.2 La segunda: retiro de Aave

El 5 de febrero de 2026, Jiaolian transfirió sus fondos de Aave a Spark.

La razón fue simple, incluso un poco trivial: la tasa de interés en Aave bajó, en Spark era un poco más alta. Solo movió su dinero de un lugar con menor interés a uno con mayor interés.

Este tipo de operación ocurre todos los días. Jiaolian no previó que Aave tendría problemas en dos meses, no analizó los riesgos de rsETH, ni tuvo información privilegiada.

Pero, sin querer, evitó la crisis de Aave en abril.

Jiaolian lo llama suerte. Pero también se pregunta: ¿tiene esta suerte alguna inevitabilidad en el azar?

3.3 Comparación entre las dos veces

Primera: atrapado pasivamente, escapó por suerte. Segunda: movió activamente, evitó riesgos sin querer.

No es necesario juzgar si fue correcto o no, ni es fácil hacerlo. Solo manteniendo la liquidez libre, quizás se puede evitar caer en algunas trampas sin querer.

Pero esto no es una solución a largo plazo. Como dice el refrán: “El que anda por el río, ¿cómo no mojarse los zapatos?”

IV. Nuevo campo de batalla: la opacidad off-chain de Spark

4.1 Un refugio temporal

Después de salir de Aave, Jiaolian puso parte de sus fondos en Spark.

¿Qué es Spark? Es una capa de liquidez que funciona como un asignador automático de capital, distribuyendo activos como USDS, sUSDS, USDC, entre protocolos DeFi y productos RWA para optimizar rendimientos. [6]

4.2 Composición de activos

Según datos oficiales de Spark, su capa de liquidez tiene activos por aproximadamente 2.1 mil millones de dólares.

Jiaolian nota que más del 90% son stablecoins en cadena, que se pueden rastrear. Pero una institución llamada Anchorage custodia alrededor del 7%, que son activos fuera de la cadena, imposibles de penetrar para usuarios comunes.

4.3 Intercambio de riesgos

Jiaolian considera que, de Aave a Spark, no es una actualización de seguridad, sino un intercambio de riesgos.

En protocolos como Aave o Compound, los riesgos son relativamente transparentes: qué colateral, cuál es la línea de liquidación, código abierto. La fuente de riesgo son las fluctuaciones del mercado o ataques.

En Spark, los riesgos introducen nuevas dimensiones: custodia institucional, RWA, estrategias opacas. No sabes exactamente qué hace Anchorage con esos 150 millones de dólares, ni puedes monitorear en tiempo real cada cambio de estrategia.

No significa que Spark sea inseguro. Desde su lanzamiento, ha gestionado más de 4 mil millones de dólares sin incidentes de seguridad. Pero Jiaolian quiere decir que: cualquier protocolo tiene riesgos, solo que de diferentes tipos. Los usuarios deben entender qué riesgos aceptan, no confiar ciegamente en que un protocolo será siempre seguro.

V. Comparación histórica: cuatro lecciones

Jiaolian recopiló las crisis DeFi que ha visto y experimentado en estos años, y creó una tabla:

[Tabla no traducida por ser visual]

De estas cuatro experiencias, Jiaolian extrae cuatro lecciones:

Primera: No construir muros peligrosos. Ante señales anómalas, primero asuma que el muro caerá y retírese. Si no cae, solo perderá algo en tarifas de gas y unos días de interés. Si realmente cae, habrá protegido todo su capital.

Segunda: No confiar en palabras, solo en acciones. Cualquier consuelo de un KOL o fundador debe verificarse con sus acciones. Quien consuela no asume consecuencias, quien actúa, sí.

Tercera: Mantener la liquidez libre. Nunca pongas en una situación donde quieras huir pero no puedas. La utilización del 100% es una señal clara: cuando quieras salir, ya será demasiado tarde.

Cuarta: Entender el intercambio de riesgos. Antes de elegir un protocolo, pregúntate: ¿qué obtengo en rendimiento? ¿Qué nuevos riesgos acepto? Riesgos transparentes en cadena vs riesgos institucionales fuera de cadena, volatilidad del mercado vs errores estratégicos. No hay seguridad absoluta, solo diferentes tipos de riesgo.

VI. La respuesta definitiva: abandonar el juego

6.1 ¿Por qué abandonar?

Jiaolian entendió que: mientras persigas rendimientos, siempre estarás expuesto a algún riesgo.

En Aave, el riesgo de contagio en pools compartidos. En Spark, el riesgo de opacidad institucional. En stablecoins, el riesgo del emisor y regulación. En BTC encapsulado, el riesgo de custodia y puente cross-chain.

Cada cambio de protocolo solo implica un tipo de riesgo, no una mejora. Es un intercambio, no una actualización.

6.2 El plan de Jiaolian

Aprovechar el ciclo bajista actual para convertir gradualmente la mayor parte de sus fondos en BTC en cadena.

No wBTC, no cbBTC, ni ningún activo encapsulado. Es BTC nativo, en su propia wallet bajo su control total.

Jiaolian cree que esta es la única forma en cripto de tener un activo sin confiar en terceros.

No depende del código del protocolo, ni del equipo, ni de colaterales, ni de custodios. La única dependencia es su capacidad para gestionar sus claves privadas.

6.3 Costo y responsabilidad

El BTC en cadena no genera intereses. Ese es el costo.

La gestión de claves privadas pasa del protocolo a uno mismo. Esa es la responsabilidad.

El proceso de conversión también conlleva riesgos y debe hacerse con cautela.

Jiaolian está dispuesto a aceptar estos costos, porque en su opinión, la seguridad de no depender de nadie vale más que un porcentaje de rendimiento anual.

6.4 La última palabra

Al entrar en el mercado cripto, inicialmente buscábamos un lugar sin confiar en bancos. Después de dar vueltas, confiamos en el código, en el equipo, en los módulos de seguridad, en los KOLs…

Pero al final, el verdadero destino sigue siendo volver a lo más simple: gestionar nuestras propias bitcoins.

Referencias:

[1] The Block, “El puente rsETH de Kelp DAO aparentemente fue explotado por aproximadamente $292 millones en un ataque basado en LayerZero”, 18 de abril de 2026

[2] Lookonchain, publicación en X sobre la utilización de ETH en Aave alcanzando el 100%, 19 de abril de 2026

[3] Michael Egorov, publicación en X sobre riesgos de préstamos no aislados, 19 de abril de 2026

[4] Andre Cronje, publicación en X sobre la decisión de retiro de PUT, 19 de abril de 2026

[5] Liu Jiaolian, Tormenta de mariposas, 5 de noviembre de 2025. [Enlace]

[6] Datos oficiales de Spark Liquidity Layer