Por qué DeFi perdió $13 mil millones en 48 horas y qué viene después

Las cifras son impactantes. En solo 18 días, 12 exploits independientes drenaron $606 millones de protocolos DeFi. Dos incidentes representan el 95% del daño: el hackeo de Drift Protocol en Solana ($285 millones, 1 de abril) y el exploit del puente de Kelp DAO en Ethereum ($292 millones, 18 de abril). Juntos, representan el 75% de todo el cripto robado en 2026.

Pero las pérdidas directas cuentan solo una parte de la historia. La verdadera crisis fue el contagio: $8.45 mil millones huyeron de Aave en 48 horas, el TVL de DeFi cayó un 25% desde su máximo de enero de $110 mil millones hasta aproximadamente $82 mil millones, y el término "DeFi está muerto" fue tendencia en las redes sociales cripto durante tres días consecutivos.

Este artículo desglosa qué pasó, por qué pasó y qué viene después.

El ataque a Drift Protocol: ingeniería social contra DeFi

El 1 de abril, atacantes drenaron $285 millones de Drift Protocol, el DEX de futuros perpetuos más grande de Solana con $550 millones en TVL. El ataque tomó 12 minutos en ejecutarse, pero tres semanas en prepararse.

El método no fue un error en un contrato inteligente. Los atacantes se hicieron pasar por una firma de trading cuantitativo, ganándose la confianza de los miembros del Consejo de Seguridad de Drift durante semanas. Explotaron la función de "durable nonces" de Solana, que permite que las transacciones sean pre-firmadas para ejecución posterior, engañando a firmantes legítimos para que autorizaran transacciones inactivas que luego serían usadas contra el protocolo.

Una vez en control, los atacantes incluyeron en la lista blanca un token fabricado sin valor como colateral, depositaron 500 millones de unidades y retiraron $285 millones en USDC, SOL y ETH. El contagio se extendió a más de 20 protocolos de Solana. Carrot Protocol pausó sus funciones de mint y redeem después de perder el 50% de su TVL. Pyra Protocol deshabilitó los retiros por completo.

La firma de analítica blockchain Elliptic vinculó el ataque con actores afiliados a DPRK, consistente con el patrón de explotación patrocinada por estados que se ha acelerado a lo largo de 2025 y 2026.

El exploit de Kelp DAO: cuando un solo verificador controla $292 millones

Diecisiete días después, el 18 de abril, el puente de Kelp DAO fue explotado por $292 millones en un tipo de ataque fundamentalmente diferente que expuso una debilidad sistémica en la arquitectura de puentes cross-chain.

A las 17:35 UTC, un atacante acuñó 116,500 rsETH en el mainnet de Ethereum, aproximadamente el 18% del suministro circulante de Kelp DAO, con un valor de alrededor de $292 millones. Los tokens no tenían respaldo. El mensaje falsificado de LayerZero fue aprobado porque el puente dependía de una única Decentralized Verifier Network (DVN) para validar las transferencias cross-chain.

El atacante comprometió la infraestructura de ese único verificador, envenenando los servidores que usaba para verificar transacciones. Sin una segunda capa de verificación, el puente aceptó el mensaje fabricado como legítimo y liberó rsETH sin respaldo en Ethereum.

La guerra de culpas que siguió expuso una verdad incómoda sobre la infraestructura DeFi. LayerZero apuntó a las decisiones de configuración de Kelp. Kelp respondió que la propia guía de inicio rápido y las plantillas predeterminadas de GitHub de LayerZero dirigían a los desarrolladores hacia configuraciones 1-of-1. Ambos tienen parte de razón: los valores predeterminados eran inseguros, y Kelp no los anuló.

LayerZero posteriormente anunció que ya no firmará mensajes para aplicaciones que ejecuten configuraciones de verificador único, forzando una migración a nivel de protocolo hacia configuraciones multi-DVN (2/3, 3/5 o similares).

El contagio: cómo $292 millones se convirtieron en $13 mil millones

El exploit de Kelp DAO no se detuvo en $292 millones. Debido a que rsETH se usaba ampliamente como colateral en DeFi, los tokens sin respaldo desencadenaron una falla en cascada a través de múltiples protocolos.

Aave sufrió el mayor impacto secundario. El protocolo de préstamos congeló sus mercados de rsETH, pero no antes de que los depositantes ya hubieran comenzado a retirar. En 48 horas, $8.45 mil millones en depósitos salieron de Aave, reduciendo su TVL de $26.4 mil millones a $17.9 mil millones. Aave mismo enfrenta pérdidas estimadas de hasta $230 millones en deuda incobrable potencial si rsETH permanece sin respaldo.

El mecanismo es contagio de libro de texto. rsETH se usaba como colateral en docenas de protocolos. Cuando quedó sin respaldo, cada protocolo que lo aceptaba como colateral enfrentó deuda incobrable potencial. La respuesta racional para los depositantes era retirar, incluso de protocolos sin exposición directa, porque las interconexiones eran difíciles de evaluar en tiempo real.

El resultado: el TVL total de DeFi cayó a aproximadamente $82.4 mil millones, su nivel más bajo en un año y una caída del 25% desde los $110 mil millones de principios de 2026. El índice Fear and Greed cayó a 27.

El patrón: puentes como riesgo sistémico

Los exploits de abril encajan en un patrón bien establecido. Los puentes cross-chain han sido consistentemente la superficie de ataque más peligrosa de DeFi:

El ataque a Kelp DAO comparte una causa raíz con casi todos los exploits de puentes importantes: un punto único de falla en el proceso de verificación. Ya sea un multisig comprometido (Ronin), una verificación de validación faltante (Wormhole), o un DVN único (Kelp), el patrón es el mismo. La seguridad de los puentes depende de la redundancia en la verificación, y los protocolos repetidamente lanzan con redundancia insuficiente.

Hackers patrocinados por el estado norcoreano han robado un estimado de $577 millones en cripto solo en abril de 2026, a través de los ataques a Drift y Kelp DAO. La sofisticación de estos ataques está aumentando: el enfoque de ingeniería social de Drift y el compromiso de infraestructura de Kelp requirieron semanas de preparación y conocimiento técnico profundo.

Qué viene después: estándares de seguridad y recuperación

La respuesta de la industria ha sido más rápida que en ciclos anteriores. Varios cambios concretos ya están en marcha.

La política obligatoria de multi-DVN de LayerZero elimina el modo de falla más obvio. Al negarse a firmar mensajes para configuraciones de verificador 1-of-1, LayerZero obliga al 40% de los integradores que actualmente ejecutan configuraciones inseguras a actualizarse. Este es el cambio individual de mayor impacto, aunque no previene todos los vectores de ataque.

Las propuestas de gobernanza de Aave están abordando el riesgo estructural de los liquid restaking tokens (LRTs) como colateral. El incidente expuso que los protocolos de préstamo DeFi tenían parámetros de riesgo insuficientes para activos LRT cuyo valor depende de la integridad de puentes externos.

El monitoreo en tiempo real está mejorando. Firmas de seguridad on-chain como Blockaid y Chainalysis publicaron análisis técnicos post-mortem en cuestión de horas, y varios protocolos implementaron circuit breakers automáticos que se activaron antes de que fuera necesaria la intervención manual.

La presión regulatoria está aumentando. Las pérdidas de abril agregan urgencia a los llamados por auditorías de seguridad DeFi obligatorias. El marco SEC-CFTC establecido en marzo de 2026 ya proporciona una base jurisdiccional, y el incidente de Kelp DAO les da a los reguladores un ejemplo concreto de por qué los estándares de seguridad importan.

Perspectiva de recuperación

Los datos históricos ofrecen cierta base para el optimismo. Después del hackeo de Wormhole en 2022, el TVL de DeFi cayó aproximadamente un 15% antes de recuperar el 80% de la pérdida en un mes. La lectura actual del Fear and Greed de 27 sugiere un sentimiento más frágil, lo que podría extender la recuperación más allá de la ventana típica de cuatro a seis semanas.

Varios factores respaldan una eventual recuperación. Los contratos subyacentes de restaking en el incidente de Kelp DAO no fallaron. Las delegaciones de EigenLayer permanecen intactas. El rsETH del mainnet todavía está respaldado por depósitos legítimos. El problema fue el puente, no el protocolo de restaking en sí.

La métrica clave a observar es la resolución de gobernanza de Aave. Si el protocolo logra gestionar la deuda incobrable potencial sin un evento de liquidación desordenado, la confianza debería recuperarse. Si requiere medidas de emergencia o experimenta pérdidas adicionales, el contagio podría profundizarse.

Qué deben observar los inversores

Para los inversores que navegan las consecuencias, tres señales importan más:

Auditorías de configuración de puentes. Rastrea qué protocolos han migrado a configuraciones multi-DVN. Estos datos son verificables públicamente on-chain. Los protocolos que se mueven rápido señalan una cultura de seguridad sólida.

Resultados de gobernanza de Aave. El manejo de la deuda incobrable de rsETH por parte de la comunidad establece el precedente de cómo los protocolos DeFi con ingresos reales gestionan eventos de cisne negro.

Estabilización del TVL. Cuando las salidas netas de los principales protocolos de préstamo se detengan, la fase impulsada por el miedo habrá terminado. Los datos semanales de TVL de DeFi en DefiLlama son la señal más clara.

Los $606 millones en pérdidas directas son dolorosos. Los $13 mil millones en retiros impulsados por el miedo son aún más dolorosos. Pero los cambios estructurales, puentes obligatorios con múltiples verificadores, mejores parámetros de riesgo para colateral y monitoreo en tiempo real, representan un progreso genuino. La infraestructura de DeFi está siendo puesta a prueba, y los protocolos que sobrevivan serán más fuertes por ello.

Aviso legal: Este artículo es solo con fines informativos y no constituye asesoramiento financiero. Las inversiones en criptomonedas conllevan un riesgo significativo. Siempre realiza tu propia investigación y consulta con un asesor financiero calificado antes de tomar decisiones de inversión.