En una semana, un hack, un corralito y un congelamiento por decreto revelaron al público que la descentralización era tan solo una obra de ficción.

«El congelamiento de Arbitrum: el teatro de la descentralización se encuentra con la realidad.»

— Charles Guillemet, CTO de Ledger.

El 19 de abril, miles de depositantes de Aave, el protocolo de préstamos descentralizados más grande del mundo, abrieron la aplicación para retirar su ether. No pudieron. La tasa de utilización del pool había llegado al 100%. Todo lo depositado estaba prestado; no quedaba liquidez. No era un problema de la interfaz ni de la wallet. Era un corralito. En DeFi. En 2026. En el protocolo de préstamos más grande del ecosistema Ethereum.

Ese es el estado real de las «finanzas descentralizadas”.

La obra comienza el 18 de abril. El puente de Kelp DAO, plataforma de restaking líquido sobre Ethereum, sufrió un exploit de USD 292 millones en rsETH, su token de ether restakeado.

LayerZero, la infraestructura de mensajería entre cadenas que Kelp usaba para su puente, atribuyó el ataque al grupo de hackers asociado al régimen de Corea del Norte, Lazarus, y señaló que Kelp operaba con una configuración llamada «1-de-1 DVN». Un DVN (red de verificadores descentralizados) es el componente que confirma que un mensaje enviado entre dos redes es legítimo antes de ejecutarlo. Qué ironía que en un sistema llamado red de verificadores descentralizados se dependa de un único guardián. 

LayerZero afirma haberle recomendado repetidamente a Kelp que añadiera verificadores adicionales. Kelp, por su parte, apuntó de vuelta a LayerZero como responsable. El cruce de culpas cierra el primer acto.

Segundo acto. La onda expansiva no tardó en llegar al siguiente eslabón, contagiando dramas paralelos. Como rsETH se usaba como colateral en los mercados de Aave, los depositantes del protocolo se asustaron. El 19 de abril salieron 2,3 millones de ether de Aave — unos USD 5.400 millones en pocas horas. La fuga fue tan rápida que la utilización de ether en el protocolo llegó al 100%, los retiros quedaron bloqueados y el token AAVE cayó 20% en veinticuatro horas. 

Justin Sun, fundador de la red Tron y uno de los inversores más visibles del ecosistema, publicó un mensaje dirigido al atacante ofreciéndose a negociar. Stani Kulechov, fundador de Aave, activó los poderes de emergencia del protocolo y congeló preventivamente los mercados de wrapped ether.

Tercer acto. Para el 20 de abril, el daño ya era sistémico. El TVL (valor total bloqueado) agregado de DeFi perdió USD 7.000 millones en un solo día. No fue una corrección de precios, fue una corrida bancaria. Más de treinta protocolos pausaron sus integraciones con LayerZero mientras se aclaraba el alcance del ataque.

Y el 21 de abril entró el cuarto acto. El Consejo de Seguridad de Arbitrum, la segunda capa (L2) de Ethereum por la que el atacante había movido parte del botín, congeló por decreto 30.766 ether vinculados al hacker, probablemente motivados por el drama acontecido hace algunas semanas cuando Circle decidió no congelar el USDC del atacante de Drift.

El Consejo de Seguridad (una multifirma 9 de 12) tiene poderes de emergencia que le permiten actualizar temporalmente contratos clave del sistema, como el Delayed Inbox en Ethereum (el puente que gestiona los mensajes entre L1 y L2). En una operación quirúrgica y reversible, actualizaron el contrato por unos instantes para añadir una función que permitía originar un mensaje cross-chain en nombre del atacante (sin necesidad de su llave privada), forjando una transacción como si el propio hacker hubiera ordenado la transferencia de sus fondos a la wallet controlada por el protocolo. Una vez ejecutada la transferencia en L2, revirtieron el contrato a su estado original, sin afectar el estado general de la cadena ni a ningún otro usuario o aplicación.

Un grupo de firmantes con una multifirma movió fondos que, en teoría, una red «descentralizada» no debía poder mover. Y funcionó.

Y ahora, como si se tratara de un rescate bancario, como ese señalado por Satoshi en el bloque génesis de Bitcoin, Lido DAO, EtherFi y el fundador de Aave, Stani Kulechov, participan en un esquema coordinado de rescate para cubrir el déficit de rsETH generado por el hackeo.

El hackeo, por sí solo, no es la historia

Los hackeos no ocurren porque haya un administrador con permisos especiales en el contrato. Ocurren porque DeFi es tecnología experimental que se pone en producción manejando miles de millones de dólares, con incentivos astronómicos para atacarla, con código componible donde el riesgo de un protocolo se inyecta en el siguiente, y con una superficie de ataque que crece más rápido que la capacidad de auditarla.

El exploit de Kelp no explotó una puerta trasera humana: envenenó dos nodos RPC —los servidores que consultan el estado de Ethereum— y engañó al validador para que firmara transacciones que nunca ocurrieron. Lo mismo habría sucedido contra un protocolo totalmente inmutable. El problema fue la inmadurez de la tecnología.

Por eso Drift hace dos semanas, Kelp esta semana, y quién sabe cuántos más en el futuro. Este abril, cada dos días se ha registrado un nuevo hackeo. Parece la naturaleza del sector. Lo ha sido así desde su nacimiento. Los números acumulados lo confirman: según datos de DefiLlama y Chainalysis, desde 2020 los protocolos DeFi han perdido más de USD 9.000 millones por ataques. Si bien hubo dos picos históricos en 2021 y 2022 —momento en que la tecnología recién nacía— y desde entonces los ataques se han ido moderando, en apenas cuatro meses de 2026 el monto robado casi iguala a 2025.

Pedir que DeFi no sea hackeado es como pedirles a los aviones de 1910 que no se caigan: pasa porque la tecnología todavía no está terminada. Pero al igual que sucede con los aviones, hasta que se mantuvieran estables en el aire, varios tendrían que caer. En DeFi, esto parece significar ser hackeados.