El 18 de abril de 2026, Lazarus robó 292 millones de dólares de KelpDAO y depositó los tokens robados — rsETH, un token de restaking líquido (LRT — un derivado que representa ETH bloqueado en protocolos como EigenLayer) — como colateral en Aave para pedir prestados activos reales. Aave perdió 6.600 millones en TVL en 48 horas. El DeFi total cayó 13.000 millones. Entonces ocurrió algo que nunca había pasado en cripto: siete protocolos competidores se unieron para recaudar 300 millones de dólares y evitar el colapso. Se llama DeFi United. Y es el primer rescate coordinado — o bailout (inyección de capital para salvar una institución al borde del colapso) — de la historia de las finanzas descentralizadas. Con todo lo bueno y lo incómodo que eso implica.
Este artículo explica cómo un hack en un bridge provocó una corrida bancaria digital en Aave, quiénes son los siete protocolos que pusieron el dinero, y por qué Bloomberg comparó esta operación con los rescates de Wall Street de 2008.
Aviso editorial: este artículo es informativo y no constituye asesoramiento financiero. DeFi United es una respuesta de emergencia en curso — los montos y participantes pueden cambiar conforme avancen las votaciones de gobernanza. CleanSky no tiene relación comercial con ningún protocolo mencionado. Datos de abril de 2026.
¿Cómo un hack en KelpDAO provocó una corrida bancaria en Aave?
El exploit no atacó a Aave directamente — sus contratos nunca fueron comprometidos. Lo que ocurrió fue más sofisticado y más peligroso:
- El hack: Lazarus explotó una vulnerabilidad en el bridge de LayerZero de KelpDAO para acuñar 116.500 tokens rsETH (un token de restaking líquido que representa ETH depositado en EigenLayer) sin respaldo real — rsETH "fantasma".
- La inyección de deuda: en vez de vender los rsETH robados (lo que habría colapsado el precio inmediatamente), el atacante los depositó como colateral en Aave V3 y pidió prestados ~190 M$ en ETH y WETH reales. Aave aceptó los rsETH porque su sistema los valoraba como legítimos.
- La corrida: cuando se descubrió que los rsETH no tenían respaldo, los depositantes de Aave entraron en pánico. Si Aave no podía recuperar el colateral, la deuda incobrable se socializaría entre los proveedores de liquidez. El TVL de Aave cayó de 26.400 M$ a ~20.000 M$ en 48 horas — una caída de 6.600 millones. Los mercados de WETH alcanzaron el 100 % de utilización: nadie podía retirar.
- El contagio: el TVL total de DeFi cayó 13.000 millones — de 99.500 M$ a 86.300 M$. No solo Aave: Compound, Morpho y Spark vieron retiros masivos por miedo a que otros tokens de restaking líquido tuvieran el mismo problema.
La deuda incobrable estimada en Aave: entre 124 y 230 millones de dólares, dependiendo de la volatilidad y la recuperación de fondos. El módulo de seguridad de Aave tenía solo 56 M$ en WETH — una fracción de lo necesario.
¿Por qué Aave es "demasiado grande para caer"?
Aave no es solo un protocolo de lending — es la capa base de liquidez de DeFi. Antes del hack, gestionaba 26.400 M$ en depósitos en 12 cadenas. stETH de Lido se usa como colateral en Aave. Pendle tokeniza yields sobre posiciones de Aave. Morpho optimiza los tipos de Aave. DAI de MakerDAO usa colateral depositado en Aave. Si Aave colapsa, el contagio alcanza a la mayoría de los protocolos principales de DeFi.
El módulo de seguridad de Aave — su reserva de emergencia — tenía solo 56 M$ en WETH cuando el hack inyectó entre 124 y 230 M$ de deuda incobrable. La diferencia entre "módulo de seguridad" y "necesidad real" era de 3-4x. Sin intervención externa, Aave habría socializado las pérdidas entre los depositantes — causando una segunda ola de retiros y potencialmente la espiral de muerte del protocolo.
¿Quiénes son los siete protocolos de DeFi United y cuánto pusieron?
DeFi United no fue una orden gubernamental ni un mandato regulatorio. Fue una respuesta de mercado: siete protocolos y contribuidores individuales se unieron porque entendieron que el colapso de Aave — la "capa base" de liquidez en DeFi — arrastraría a todo el ecosistema.
| Contribuidor | Compromiso | Tipo | Condición |
|---|---|---|---|
| Aave DAO | 25.000 ETH (~47 M$) | Tesorería propia | Filosofía "No Ghost Left Behind" |
| Consensys / Joseph Lubin | 30.000 ETH (~70 M$) | Capital directo | Sin votación DAO — ejecución inmediata |
| Mantle Network | 30.000 ETH (~70 M$) | Préstamo a 3 años | Interés: APR de Lido + 1 %. Exige 130.000 tokens AAVE en delegación |
| Lido DAO | 2.500 stETH (~5 M$) | Aportación directa | Simbólica pero crítica — protege la utilidad de stETH como colateral |
| EtherFi | 5.000 ETH (~12 M$) | Tesorería DAO | Motivación directa: el colapso de rsETH amenaza todo el restaking |
| Ethena | En revisión | Participación material | Pendiente de gobernanza |
| Stani Kulechov (fundador Aave) | 5.000 ETH (~12 M$) | Donación personal | Señal de confianza |
| Otros (Compound, Renzo, Ink, Frax...) | ~15.000+ ETH | Varios | Votaciones en curso |
| Total comprometido | ~112.500+ ETH (~300 M$) | Supera el déficit estimado de 116.500 rsETH |
A 26 de abril, Aave había recaudado ~160 M$ de los ~200 M$ necesarios para cubrir la deuda incobrable. El Consejo de Seguridad de Arbitrum congeló además 30.766 ETH (~71 M$) vinculados al atacante en su L2 — reduciendo el agujero que la coalición debía tapar.
¿Es DeFi United un rescate tipo Wall Street?
Bloomberg tituló que este rescate "daña el discurso anti-Wall Street" de DeFi. El argumento: cuando llegó la crisis real, el sector recurrió a las mismas tácticas que los bancos centrales — negociaciones entre grandes actores, socialización del riesgo, "demasiado grande para caer".
Las comparaciones son inevitables:
| Característica | Fed / BCE (2008) | DeFi United (2026) |
|---|---|---|
| Origen del capital | Emisión monetaria / impuestos | Tesorerías de DAOs + capital privado |
| Proceso de decisión | Jerárquico / político | Gobernanza descentralizada + consenso social |
| Transparencia | Opacidad estratégica | Totalmente on-chain, auditable en tiempo real |
| Quién decide | Banqueros centrales designados | Holders de tokens de gobernanza que votan |
| Quién paga | Contribuyentes (vía inflación o impuestos) | Los protocolos que aportaron capital voluntariamente |
| Riesgo moral | Alto — "too big to fail" incentiva riesgo excesivo | Alto — si sabes que te rescatan, ¿para qué auditar? |
La diferencia real: en 2008, nadie sabía dónde estaba la deuda tóxica hasta que Lehman quebró. En DeFi, cada ETH comprometido, cada voto emitido y cada dirección involucrada es pública y auditable. DeFi United no es menos "rescate" que TARP (el programa de 700.000 M$ que salvó a los bancos de EE.UU. en 2008) — pero es infinitamente más transparente.
¿El préstamo de Mantle a cambio de poder de voto es un problema?
Es el detalle más incómodo de DeFi United. Mantle no donó 30.000 ETH — los prestó a 3 años con intereses, y a cambio exigió la delegación de 130.000 tokens AAVE de gobernanza. Es un intercambio de "liquidez por poder político" que revela cómo funcionan las DAOs bajo presión:
- Mantle obtiene influencia directa sobre la gobernanza de Aave — el protocolo de lending más grande de DeFi.
- Aave obtiene liquidez urgente sin vender activos de tesorería a precios de pánico.
- Los holders de AAVE ven su poder de voto diluido por una decisión de emergencia que no votaron directamente.
Este patrón — protocolos grandes prestando capital a cambio de influencia en la gobernanza de otros — podría definir el futuro de DeFi. La centralización oculta ya no es solo técnica (validadores, oráculos, secuenciadores). Es política: bloques de poder interconectados que se prestan dinero y votos para mantener el orden. Si Mantle acumula delegaciones en Aave, Compound y Lido, podría convertirse en el "Goldman Sachs de DeFi" — un actor cuya influencia cruza protocolos y cuyas decisiones afectan a todo el ecosistema.
¿Arbitrum congelando 71 M$ es descentralización o censura?
Mientras DeFi United recaudaba, el Consejo de Seguridad de Arbitrum — un grupo de 12 personas con poderes de emergencia — congeló 30.766 ETH (~71 M$) vinculados al atacante que estaban inactivos en la L2. La acción redujo significativamente el déficit que la coalición debía cubrir.
Pero 12 personas congelando fondos unilateralmente es exactamente lo que DeFi prometió eliminar. Los críticos argumentan que es la antítesis de un sistema sin permisos. Los defensores responden que, ante un ataque de un grupo de hackers de estado (Lazarus/Corea del Norte), la capacidad de actuar rápido salva cientos de millones.
Es el mismo debate que con Sui y Cetus: ¿prefieres una red que puede recuperar fondos robados pero también puede censurar los tuyos — o una red donde nadie puede intervenir pero los ladrones se van con tu dinero? No hay respuesta universal. Pero el patrón de 2026 es claro: cuando el dinero real está en juego, el ecosistema elige intervención sobre pureza ideológica.
¿Cómo se está recuperando técnicamente Aave?
La recuperación tiene dos frentes: restaurar la liquidez (que los depositantes vuelvan) y absorber la deuda incobrable (que los rsETH sin respaldo dejen de contaminar el balance).
| Fase | Acción | Impacto estimado | Estado (28 abr) |
|---|---|---|---|
| 1. Congelación | Arbitrum congela 30.766 ETH del atacante | 71 M$ menos de agujero | ✅ Completado |
| 2. Recaudación | DeFi United recauda 100.000+ ETH | ~300 M$ comprometidos, 160 M$ recibidos | En curso |
| 3. Restauración de rsETH | Los ETH recaudados se usan para respaldar los rsETH "fantasma" | Restaura la paridad rsETH:ETH | Propuesta técnica publicada hoy |
| 4. Normalización de mercados | Reapertura de retiros en pools de WETH | Depende de que la utilización baje del 100 % | En progreso — stablecoins normalizándose |
| 5. Post-mortem | Auditoría de todas las integraciones de LRT en Aave | Prevención de futuros ataques similares | Pendiente |
El multisig de recuperación es un Gnosis Safe 2/3 controlado por Sharplink (la firma de Lubin), Certora (verificación formal) y BGD Labs (desarrollador core de Aave). Cada movimiento de fondos es público y auditable on-chain — a diferencia de los rescates bancarios tradicionales donde los términos se negocian a puerta cerrada.
Marc Zeller, del Aave Chan Initiative, propuso formalizar DeFi United como infraestructura permanente: un "Vault DeFi United ETH" donde el 50 % de los ingresos de Aave por encima de un umbral se deposite como fondo de reserva sistémico. Es el intento de convertir una respuesta ad-hoc en un seguro programático — algo que los bancos centrales tardaron décadas en construir después de 2008.
¿Qué lecciones deja DeFi United para el inversor?
Cinco lecciones concretas:
- Aave es "demasiado grande para caer" — pero eso tiene un precio. La coalición lo confirmó: si Aave colapsa, DeFi colapsa. Eso protege a los depositantes pero crea riesgo moral — si los protocolos saben que serán rescatados, ¿para qué invertir en seguridad?
- Los tokens de restaking líquido (LRTs) son el vector de riesgo sistémico de 2026. rsETH, eETH, pufETH — todos circulan como colateral en money markets (protocolos donde depositas un activo y pides prestado otro). Un fallo en cualquiera puede inyectar deuda incobrable en Aave, Morpho o Compound. El restaking multiplica rendimiento y riesgo. La industria está moviéndose hacia límites dinámicos de acuñación — restringir cuántos LRTs nuevos puede aceptar un money market si el respaldo no se verifica por múltiples oráculos.
- La gobernanza funciona — pero lentamente. Muchas contribuciones de DeFi United están pendientes de votación. Lubin actuó en horas; las DAOs tardan días o semanas. En una crisis que se mide en minutos, la velocidad de la gobernanza descentralizada es una limitación real.
- La transparencia es la ventaja real. Cada ETH de DeFi United es rastreable on-chain. El multisig de recuperación (Gnosis Safe 2/3 controlado por Sharplink, Certora y BGD Labs) es público. Eso no existió en TARP ni en los rescates bancarios europeos.
- Diversifica entre protocolos de lending. Si todo tu capital estaba en Aave cuando la utilización llegó al 100 %, no podías retirar. Distribuir entre Aave, Morpho y Compound no elimina el riesgo sistémico — pero reduce la probabilidad de quedarte atrapado en un solo protocolo. Y verifica la composición del colateral: si el pool donde depositas acepta LRTs como rsETH, tu exposición al riesgo de bridge es indirecta pero real.
Lo más honesto: DeFi United es simultáneamente la mayor fortaleza y la mayor debilidad de DeFi en 2026. Demuestra que el ecosistema puede coordinarse para salvar su infraestructura — algo que ningún otro mercado financiero hace con esta transparencia. Pero también demuestra que "código es ley" tiene un límite: cuando los fondos de los usuarios están en riesgo, el consenso social sustituye al contrato inteligente. DeFi no eliminó los rescates — los descentralizó. Y la pregunta que queda abierta para los próximos meses: ¿se formalizará DeFi United como infraestructura permanente con un vault de reserva sistémico — o se disolverá hasta el próximo hack? La respuesta definirá si DeFi ha aprendido algo de 2008 o si está condenado a repetirlo, esta vez con más transparencia pero con la misma improvisación.
¿Sabes cuánto de tu capital en DeFi depende de tokens de restaking líquido como colateral?
CleanSky muestra tu exposición por protocolo, cadena y tipo de colateral — para que veas dónde se acumula el riesgo sistémico antes de que un hack como Kelp te afecte. Sin custodiar tus fondos. Descubre cómo funciona.