ZachXBT alerta un exploit de KelpDAO por más de 280M$ que golpea los mercados de préstamos DeFi de Ethereum

Se informó que un atacante explotó una vulnerabilidad en el token de liquid restaking rsETH de KelpDAO el 18 de abril de 2026, drenando una cantidad estimada de 280 millones de dólares o más en Ethereum y Arbitrum.

Aspectos clave:

• ZachXBT señaló una sustracción de 280M+ en Ethereum y Arbitrum en protocolos DeFi el 18 de abril de 2026.
• El exploit de KelpDAO generó una deuda incobrable en Aave V3, con una caída del token AAVE de aproximadamente 10-13%.
• KelpDAO no ha confirmado el exploit; los analistas supervisan seis carteras identificadas del atacante para buscar pistas de recuperación.

Exploit DeFi en Ethereum: El ataque con rsETH de KelpDAO drena más de 280 millones de dólares

El investigador onchain ZachXBT publicó la alerta inicial en su canal público de Telegram poco antes de las 3 p.m. ET, listando seis direcciones de billeteras vinculadas al robo y señalando que las carteras del atacante se financiaron mediante Tornado Cash antes de que comenzara el drenaje. Su publicación citó pérdidas superiores a 280 millones de dólares en múltiples protocolos DeFi sin nombrar directamente a KelpDAO, pero los analistas onchain vincularon las direcciones en cuestión de horas.

“KelpDAO parece haber tenido 280M+ robados hace una hora en Ethereum y Arbitrum”, escribió ZachXBT. “Las direcciones del ataque se financiaron vía Tornado Cash.”

Los reportes indican que los atacantes explotaron una falla en la infraestructura de rsETH de KelpDAO, lo que activó la liberación no autorizada de un gran volumen del token de liquid restaking sin depositar nuevo colateral. El rsETH adquirido se depositó luego en mercados de préstamos de Aave V3 tanto en Ethereum como en Arbitrum, donde el atacante pidió prestadas cantidades significativas de ETH y otros activos contra él.

Una vez que se puso en duda la validez del colateral, esas posiciones dejaron a Aave con deuda incobrable. Las estimaciones de la comunidad sobre las pérdidas totales oscilaron entre 100 millones y aproximadamente 293 millones de dólares, equivalente a alrededor de 116.500 rsETH a precios actuales.

AAVE cayó con fuerza ante la noticia. Los datos del mercado muestran la caída entre 10% y 13% en horas posteriores a la alerta inicial, mientras el mercado evaluaba la posible exposición a deuda incobrable en los pools de préstamos del protocolo. El guardian del multisig de AAVE congeló rsETH en los mercados de lending, según datos onchain.

Los tokens de liquid restaking como rsETH se encuentran profundamente dentro de la composabilidad de DeFi. Se aceptan como colateral en múltiples mercados de préstamos de forma simultánea, lo que significa que el exploit puede propagar pérdidas rápidamente entre plataformas. El incidente de KelpDAO ilustra ese riesgo de forma directa.

Las carteras del atacante listadas por ZachXBT mostraron grandes posiciones de ETH mantenidas en Aave y Compound. Una sola dirección, en particular, supuestamente mantenía aproximadamente 120 millones de dólares en ETH en Aave en el momento de la detección. Los fondos se movieron rápidamente después del drenaje.

El uso de Tornado Cash para prefondar carteras operativas antes del ataque es una táctica estándar para los atacantes que intentan ocultar el origen. No indica una técnica nueva, pero confirma que la operación fue deliberada y planificada.

Aproximadamente a las 3 p.m. ET del 18 de abril, KelpDAO no había publicado una declaración oficial ni un post-mortem. La comunidad observaba la cuenta de X y el sitio web del proyecto en busca de una respuesta, así como los canales de gobernanza de Aave por cualquier acción de emergencia.

Empresas de seguridad DeFi, incluidas Peckshield, Slowmist y otras, aún no habían publicado desgloses detallados al momento de redactar este texto, reflejando lo rápido que se desarrolló la situación. ZachXBT no había publicado un seguimiento nombrando específicamente a KelpDAO en canales públicos, pero la superposición de direcciones trazó una línea clara.

Este incidente es distinto del exploit del Drift Protocol que Bitcoin.com News reportó por primera vez el 1 de abril de 2026, el cual involucró aproximadamente 280 millones de dólares drenados principalmente en Solana antes de que USDC se puentease a Ethereum vía CCTP. La mecánica, las cadenas y los plazos son diferentes.

Se aconsejaba a cualquier persona que mantuviera rsETH o posiciones relacionadas en Aave, Compound u otros mercados de lending revisar su exposición mientras la situación permanecía sin resolverse.

Las seis carteras del atacante identificadas por ZachXBT siguen siendo objetivos activos para el trazado onchain mientras los analistas trabajan para mapear hacia dónde se movieron los fondos después de salir de Aave.

Nota del editor: Este artículo se actualizó a las 4 p.m. ET para indicar que el guardian del multisig de Aave congeló rsETH en mercados de lending específicos.