Saltar al contenido principal

Wall Street hace una pausa: Por qué Jefferies afirma que el hackeo de KelpDAO podría retrasar las criptomonedas institucionales 18 meses

· 15 min de lectura
Dora Noda
Dora Noda
Software Engineer

Por cada dólar robado a KelpDAO el 18 de abril de 2026, cuarenta y cinco dólares más salieron de DeFi en un plazo de cuarenta y ocho horas. Esa proporción — no el titular de los 292 millones de dólares — es lo que aterrizó en los escritorios de los oficiales de riesgo bancario una semana después, y es la cifra que aprovecharon los analistas de Jefferies cuando argumentaron que los grandes bancos podrían tener ahora que rediseñar toda su hoja de ruta de blockchain para 2026 – 2027.

La nota de Jefferies, publicada el 21 de abril, no predijo la muerte de la tokenización. Predijo algo más sutil y posiblemente más dañino: una pausa silenciosa en toda la institución. Una reevaluación de qué protocolos DeFi pueden funcionar realmente como infraestructura de colateral para productos de activos del mundo real de billones de dólares. Un ajuste de cuentas con la brecha entre lo que las auditorías pueden probar y lo que los protocolos realmente hacen una vez que se siguen actualizando. Y, posiblemente, un retraso de 12 a 18 meses en las ambiciones on-chain de BNY Mellon, State Street, Goldman Sachs y HSBC.

Esta es la historia de cómo un exploit de puente, un solo verificador mal configurado y una proporción de contagio de 45 a 1 reiniciaron el calendario institucional.

La anatomía de un drenaje de 292 millones de dólares

El incidente de KelpDAO no fue, estrictamente hablando, un hackeo de contratos inteligentes. Fue un compromiso de la infraestructura off-chain que explotó un punto único de fallo que la mayoría de la gente no sabía que existía.

El puente rsETH de KelpDAO estaba configurado con un solo verificador — la DVN (Red de Verificación Descentralizada) de LayerZero Labs. Un verificador, una firma, un punto de estrangulamiento. Los atacantes, atribuidos más tarde por LayerZero al Lazarus Group de Corea del Norte, supuestamente comprometieron dos de los nodos RPC en los que el verificador confiaba para confirmar mensajes cross-chain. El binario malicioso instalado en esos nodos le dijo al verificador que una transacción fraudulenta era real. 116,500 rsETH — aproximadamente 292 millones de dólares — salieron del puente a través de 20 cadenas.

KelpDAO y LayerZero se culparon mutuamente de inmediato. Kelp argumentó que la propia guía de inicio rápido de LayerZero y la configuración predeterminada de GitHub apuntaban a una configuración DVN de 1 de 1, y señaló que el 40 % de los protocolos en LayerZero utilizan la misma configuración. LayerZero argumentó que Kelp decidió no añadir una segunda DVN. Ambos puntos son simultáneamente ciertos, y ambos son irrelevantes para los bancos que leen el post-mortem. La lección que se llevaron las mesas de custodia institucional fue más simple: la configuración que parecía más segura en la documentación no lo era.

KelpDAO logró pausar los contratos para bloquear un intento de robo posterior de 95 millones de dólares, y el Consejo de Seguridad de Arbitrum congeló más de 30,000 ETH aguas abajo. Pero el daño real ya se había desplazado un nivel más arriba en el stack.

La cascada de contagio de 45:1

A las pocas horas del drenaje del puente, los atacantes comenzaron a publicar el rsETH robado como colateral en Aave V3. Pidieron préstamos contra él, dejando a Aave con aproximadamente 196 millones de dólares en deuda incobrable concentrada en el par rsETH – wrapped ether en Ethereum.

Lo que sucedió a continuación fue reflexividad a escala. El TVL de Aave cayó aproximadamente 6.6 mil millones de dólares en 48 horas. En todo el sector DeFi, el valor total bloqueado cayó unos 14 mil millones de dólares hasta los 85 mil millones aproximadamente — su nivel más bajo en un año y cerca de un 50 % por debajo de los picos de octubre. Gran parte de ese éxodo fue el desapalancamiento de posiciones en lugar de una destrucción real de capital, pero el mensaje fue el mismo: 292 millones de dólares de robo produjeron 13.21 mil millones de dólares en salidas de TVL. Una proporción de contagio de 45 a 1.

Para una mesa de custodia que evalúa a Aave como infraestructura de colateral para fondos del mercado monetario tokenizados, las matemáticas son imposibles de ignorar. La tesis de "seguridad de blue chip" supone que la profundidad absorbe los choques. La cascada de abril de 2026 mostró que la profundidad huye en el momento en que aterrizan los choques.

Se puso peor: se informó que la reserva Umbrella de Aave fue insuficiente para cubrir el déficit, planteando la posibilidad de que los propios holders de stkAAVE absorbieran las pérdidas. El protocolo luego recaudó 161 millones de dólares en capital fresco para respaldar el agujero. Para los observadores de TradFi, la secuencia — exploit, deuda incobrable, déficit de reserva, recaudación de emergencia — se pareció incómodamente a una corrida bancaria con pasos adicionales.

El patrón que realmente le importa a Jefferies

Andrew Moss, el analista de Jefferies, no escribió la nota por un solo puente. La escribió debido a tres incidentes en tres semanas.

  • 22 de marzo de 2026 — Resolv: Un atacante comprometió el entorno AWS Key Management Service de Resolv y utilizó la clave de firma privilegiada del protocolo para acuñar 80 millones de tokens USR, extrayendo aproximadamente 25 millones de dólares y rompiendo la paridad de la stablecoin.
  • 1 de abril de 2026 — Drift: Los atacantes pasaron meses realizando ingeniería social al equipo de Drift y explotaron la función de "nonces duraderos" de Solana para lograr que los miembros del Consejo de Seguridad firmaran previamente transacciones sin saberlo, eventualmente incluyendo un token falso sin valor (CVT) en la lista blanca como colateral y drenando 285 millones de dólares en activos reales.
  • 18 de abril de 2026 — KelpDAO: Nodos RPC comprometidos bajo una configuración de verificador de 1 de 1, 292 millones de dólares perdidos.

Tres protocolos diferentes, tres cadenas diferentes, tres superficies de ataque diferentes — pero un único tema compartido: ninguno de estos fallos estaba en el código on-chain que los auditores habían revisado. Estaban en la infraestructura de la nube, el proceso de gobernanza off-chain, los procedimientos de actualización y las configuraciones predeterminadas que se encontraban justo fuera del límite de la auditoría.

Jefferies enmarcó esto como la clase de ataque definitoria de 2026: vulnerabilidades introducidas por actualizaciones. Cada actualización de rutina del protocolo cambia silenciosamente los supuestos de confianza que la auditoría anterior validó frente al código anterior. Para los gestores de riesgos institucionales — de esos cuyo trabajo es escribir un memorando que diga "esto es lo suficientemente seguro como para mantener 5 mil millones de dólares en activos de fondos de pensiones" — esa es una comprensión que anula la categoría. Al marco de riesgo basado en auditorías que han estado construyendo silenciosamente durante dos años se le acaba de decir que ha estado midiendo lo incorrecto.

Por qué esto afecta al calendario de Wall Street

La tesis de Jefferies no es que la tokenización falle. Es que la parte de la tokenización que depende de la composabilidad de DeFi se retrasa.

Para entender por qué, consideremos la hoja de ruta institucional tal como existía el 17 de abril de 2026:

  • BlackRock BUIDL había crecido hasta aproximadamente 1.900 millones de dólares, desplegados en Ethereum, Arbitrum, Aptos, Avalanche, Optimism, Polygon, Solana y BNB Chain. Ya era aceptado como colateral en Binance.
  • Franklin Templeton BENJI continuó expandiendo su exposición a los bonos del Tesoro de EE. UU. on-chain con FOBXX como subyacente.
  • Apollo ACRED se desplegó en Plume y se habilitó como colateral en Morpho — una apuesta explícita a que el crédito institucional puede ser tomado en préstamo contra activos on-chain.
  • Los bonos del Tesoro de EE. UU. tokenizados habían crecido de 8.900 millones de dólares en enero de 2026 a más de 11.000 millones en marzo. El crédito privado tokenizado superó los 12.000 millones de dólares. El mercado total de RWA en cadenas públicas superó los 209.600 millones de dólares, con un 61 % en la red principal de Ethereum.

El detalle crucial: casi todos los elementos interesantes de la hoja de ruta institucional — usar BUIDL o ACRED como colateral para préstamos, construir productos estructurados generadores de rendimiento sobre bonos del Tesoro tokenizados, integrar fondos del mercado monetario tokenizados en corretaje preferencial (prime brokerage) — dependen de algo más que el propio token RWA. Dependen de una capa DeFi funcional debajo.

Esa capa, en abril de 2026, acaba de demostrar reflexividad. Si Aave puede perder 10.000 millones de dólares en depósitos en 48 horas tras un exploit de 292 millones de dólares en un protocolo diferente, entonces el "DeFi de primera categoría" (blue chip DeFi) no es un baluarte — es un mecanismo de transmisión. Y los productos institucionales construidos sobre mecanismos de transmisión necesitan de 6 a 18 meses adicionales de trabajo de infraestructura independiente, o necesitan ser rediseñados como entornos exclusivamente permisionados.

Ese es el retraso que Jefferies está valorando.

El contraargumento: Tokenización sin DeFi

Existe un argumento real de que la nota de Jefferies exagera el impacto institucional. La mayor parte de los 209.600 millones de dólares en RWA on-chain reside en la red principal de Ethereum, no dentro de protocolos DeFi. Los holders de BlackRock BUIDL son mayoritariamente compradores institucionales que nunca tuvieron la intención de apalancarlos en Aave. La red Onyx de JPMorgan y la mesa de activos tokenizados de Goldman operan principalmente en entornos permisionados. La historia de la "composabilidad DeFi" siempre ha sido una porción más pequeña de la adopción institucional de lo que suponen los comentaristas nativos de cripto.

Si se acepta ese enfoque, la nota de Jefferies se convierte en un permiso formal en lugar de un punto de inflexión — los comités de riesgo de Wall Street que no estaban convencidos de la composabilidad DeFi utilizan la nota para formalizar un retraso que de todos modos iban a tomar discretamente. La tokenización en sí misma prosigue. Los programas piloto continúan. Las cifras de titulares de billones de dólares no se mueven mucho.

La respuesta honesta es probablemente ambas cosas a la vez: la tokenización continúa, pero la parte interesante de la tokenización — la parte donde los activos on-chain se convierten en colateral composable, donde los productos estructurados se construyen sobre rieles sin permiso, donde las ganancias de eficiencia del dinero programable realmente aparecen — se retrasa.

Qué cambiarán realmente las instituciones

Leyendo entre líneas la nota de Jefferies y las declaraciones públicas de las principales mesas de custodia, parecen probables tres cambios concretos en los próximos seis meses.

Primero, el alcance de la auditoría se expande más allá de los contratos inteligentes. Como dijo un experto tras el exploit de Drift: "auditen las claves de administración, no solo el código". Es de esperar que la diligencia debida institucional comience a exigir auditorías de seguridad en la nube, revisiones de procedimientos de gestión de claves, análisis de vectores de ataque a la gobernanza y re-atestación continua después de cada actualización de protocolo. La industria especializada de auditores de código verá nacer una industria hermana de auditores operativos.

Segundo, los entornos permisionados se aceleran. Los bancos que planeaban usar Aave o Morpho como infraestructura de colateral redirigen discretamente la ingeniería hacia despliegues privados — forks exclusivamente institucionales, mercados de préstamos con listas blancas o acuerdos de repo bilaterales construidos sobre las mismas primitivas pero con contrapartes conocidas. Esto cambia eficiencia por control, un intercambio que los oficiales de riesgo institucional están muy dispuestos a hacer.

Tercero, las configuraciones de verificador único se vuelven inviables. El hecho de que el 40 % de los protocolos de LayerZero estuvieran ejecutando configuraciones DVN de 1 de 1, y el hecho de que la configuración por defecto fomentara esto, probablemente producirá una presión coordinada de la industria para requerir múltiples verificadores como base mínima. Los puentes que se lancen con configuraciones sensatas de 2 de 3 o 3 de 5 verificadores por defecto heredarán el flujo institucional para el cual los puentes de verificador único no pueden obtener seguro.

El análogo histórico

Jefferies enmarcó abril de 2026 como un evento menos severo pero similar en cuanto a la alteración del ritmo comparado con el colapso de Terra/UST y la implosión de FTX en 2022. Terra retrasó los cronogramas de integración DeFi-TradFi en aproximadamente 24 meses. FTX retrasó los cronogramas de custodia institucional en aproximadamente 18 meses. La secuencia de KelpDAO — exploit de puente, contagio de prestamistas, colapso del marco de auditoría — se asemeja más a un evento de alteración del ritmo de 12 a 18 meses específicamente para la tesis de DeFi composable como infraestructura institucional, no para la tokenización en general.

Esa es una distinción significativa. Significa que el caso alcista para los RWA en 2027 sigue intacto. Significa que BUIDL sigue creciendo. Significa que los volúmenes de pago con stablecoins siguen subiendo. Pero también significa que la versión de 2026 donde los protocolos DeFi se convertían en la columna vertebral con minimización de confianza de las finanzas institucionales de billones de dólares se traslada ahora a 2027 o 2028 como muy pronto.

La lección real

La conclusión más incómoda es que DeFi no perdió $ 14 mil millones porque fuera inseguro. Los perdió porque fue opaco sobre lo que realmente significa la seguridad. Las auditorías de contratos inteligentes son reales y valiosas. También son una pequeña fracción de la superficie de ataque real. Mientras los protocolos se actualicen con frecuencia, dependan de la infraestructura en la nube, mantengan claves de firma privilegiadas y lancen configuraciones predeterminadas que prioricen la comodidad del desarrollador sobre la diversidad de los verificadores, la auditoría validará una cosa mientras que el riesgo real reside en otro lugar.

Para los constructores, esta es una oportunidad. Los protocolos que sobrevivan a la pausa institucional de 2026 serán los que resuelvan el problema más difícil: aquellos que puedan producir evidencia continua y verificable de integridad operativa en lugar de una auditoría puntual y una esperanza. Para las instituciones, el camino es más estrecho pero más claro: asumir que la composabilidad de DeFi tiene un retraso de 12 a 18 meses y construir para la tokenización con permisos mientras tanto. Para todos los demás: la próxima vez que vea "auditado" como la única señal de confianza que ofrece un protocolo, pregunte qué es lo que los auditores no analizaron.

Esa pregunta, más que cualquier hackeo individual, es lo que dará forma al stack cripto institucional de 2027.

BlockEden.xyz proporciona infraestructura de RPC e indexadores de grado empresarial para constructores e instituciones que despliegan en Sui, Aptos, Ethereum, Solana y más de 25 cadenas adicionales. A medida que los hackeos de 2026 subrayan la importancia de la diversidad de verificadores y la integridad operativa, explore nuestro marketplace de API para construir sobre una infraestructura diseñada teniendo en cuenta el riesgo institucional.

Fuentes

Share on Twitter