DeFi juega el juego de la culpa
A pesar de todo lo que se habla de finanzas descentralizadas, autónomas y sin permiso, la respuesta del sector DeFi al hackeo de Kelp DAO de 290 millones de dólares del sábado cuenta una historia diferente.
Las empresas involucradas están jugando un juego de culpas confuso y muy humano sobre la responsabilidad por las consecuencias de 14 mil millones de dólares.
Si bien los proyectos eluden su responsabilidad, los usuarios tienen fondos atrapados en lo que se consideraba el lado seguro y tranquilizadormente aburrido de DeFi, y potencialmente enfrentan recortes para cubrir deudas incobrables.
Mientras tanto, en medio de la incertidumbre, la industria en su conjunto pierde credibilidad.
Voces influyentes instan a las tres partes clave involucradas a unirse y encontrar un camino a seguir. Pero, hasta ahora, parece que las empresas están decididas a jugar duro.
LayerZero culpa a la elección de configuración del validador de Kelp DAO, mientras que Kelp DAO dice que siguió los valores predeterminados de LayerZero. Aave se mantiene al margen, con la esperanza de volver a la normalidad y, al mismo tiempo, evitar su propio papel en el impulso de la profunda integración de rsETH.
Echemos un vistazo al caso contra cada uno de los proyectos involucrados.
El sector DeFi sufre una crisis de 14.000 millones de dólares mientras las consecuencias del hackeo de rsETH de 290 millones de dólares queman a Aave
algas marinas
Comenzando con Kelp DAO, cuyo token rsETH fue pirateado el sábado, no hay mucho que hacer.
La empresa guardó silencio durante 48 horas después de su reconocimiento inicial del ataque del sábado.
A los usuarios que esperaban saber cómo se podrían distribuir las pérdidas finalmente se les presentó una breve declaración que no proporcionaba ninguna información nueva.
Simplemente confirmó la mecánica del exploit, lo felicitó, destacó que la configuración 1/1 DVN de Kelp DAO es "la predeterminada para cualquier nueva implementación de OFT" y se felicitó por bloquear otro intento de hackeo de $95 millones.
NUEVO: KelpDAO está listo para rechazar la autopsia de LayerZero que culpó a Kelp por el exploit en lugar de culparse por su exploit de infraestructura interna. Supuestamente se filtró un memorando/borrador interno de Kelp. Los equipos están jugando PvP abiertamente con abogados y declaraciones públicas en lugar... https://t.co/EooM2OqQ2O pic.twitter.com/jt15CBSClt
– Andy (@andyyy) 20 de abril de 2026
Incluso resultó bastante manso, dado el posible ataque de LayerZero del que se había provocado el día anterior.
En cuanto a la distribución de pérdidas, la empresa dice que está "evaluando simultáneamente los posibles próximos pasos".
Al elogiar la decisión de Arbitrum de confiscar el éter robado ($ETH), no reveló mucho más y dijo que está "buscando todas las vías disponibles para... mitigar el impacto del incidente en todo el ecosistema Defi".
Entonces seguiremos esperando.
CapaCero
LayerZero ha enfrentado muchas críticas, no solo de Kelp DAO, de que su arquitectura transfiere la carga de la seguridad a los equipos de proyectos individuales, o "" permite a cada emisor de aplicaciones y activos definir su propia postura de seguridad ", como dice LayerZero.
Si bien la empresa afirma que recomienda a los emisores de activos individuales que elijan una configuración segura, el análisis de Dune sugiere que casi la mitad de los más de 2500 contratos puente de OApp utilizan una configuración DVN 1/1.
Un ejemplo, destacado por el experto en seguridad blockchain Taylor Monahan, establece explícitamente "usar los valores predeterminados de LZ" en sus comentarios de código.
oh señor 😭https://t.co/7GQIbybxvg https://t.co/ToUwOX3cA5 pic.twitter.com/xFPoNgeb4c
– Tay 💖 (@tayvano_) 20 de abril de 2026
De hecho, tras el incidente del sábado, muchos proyectos criptográficos y DeFi conocidos suspendieron la conexión de sus activos a través de LayerZero, incluidos Ethena, EtherFi, WBTC, Tron y Curve.
Otro punto de discordia es la falta de divulgación del vector de ataque específico que otorgó acceso a su infraestructura, lo que llevó a la manipulación del DVN, operado por la propia Layer Zero.
Aave
A pesar de estar más alejado del robo real, el antiguo protocolo número uno de DeFi (ahora desbancado del primer puesto debido a las recientes salidas de capital) creó las condiciones para un daño tan generalizado.
El uso de rsETH como garantía en modo electrónico con un valor total objetivo bloqueado al permitir un bucle altamente apalancado de tokens de (re)stake líquidos correlacionados con $ETH, uno de los usos clave de Aave.
Las evaluaciones de riesgo para estas configuraciones se centraron en el "riesgo de mercado y de liquidez", y las configuraciones puente se consideraron "una característica estructural de la componibilidad en lugar de una cuestión de alcance".
Bridged rsETH tenía los mismos parámetros que en la red principal, descartando por completo cualquier riesgo entre cadenas.
Parece probable que rsETH haya sido atacado específicamente por su profunda liquidez, una hazaña lograda gracias a estas decisiones.
Aave parecía intocable hace apenas unos meses, pero la agitación reciente, la retrospectiva de la arrogancia del pasado y los contribuyentes arremetiendo contra los competidores, pintan un panorama completamente diferente.
El lado positivo de Arbitrum
Hoy temprano, el consejo de seguridad de Arbitrum logró un rescate de más de 30.000 $ETH (71 millones de dólares) de las ganancias del hacker en el último momento.
Poco después comenzó el blanqueo de fondos en Ethereum. Los analistas en cadena confirmaron la participación de la RPDC y detectaron enlaces a otros hacks relacionados con TraderTraitor, BTC Turk y ByBit.
Si bien algunos de los fanáticos de la descentralización de DeFi pueden tener problemas con la medida, tener la capacidad de confiscar fondos ilícitos es una