El 18 de abril de 2026, la naturaleza interconectada de las finanzas descentralizadas transformó una vulnerabilidad externa en una crisis sistémica catastrófica para Aave. Un ataque sofisticado a la infraestructura de cadena cruzada de Kelp DAO resultó en el robo de más de $292 millones en tokens de restaking líquido. Al armar los agresivos parámetros de riesgo de Aave, los atacantes extrajeron $272 millones en WETH, dejando a los depositantes comunes enfrentando pérdidas permanentes y exponiendo las fallas fatales de la arquitectura DeFi hiper-componible.
❍ La Brecha del Puente LayerZero
La crisis comenzó externamente en el puente adaptador cross-chain del Kelp DAO, impulsado por la infraestructura de LayerZero.
La Manipulación: Los atacantes utilizaron cargas de mensajes falsificadas para manipular la compleja capa de verificación del puente, otorgándose permisos a nivel de administrador.
La Captura: Esta manipulación técnica les permitió drenar 116,500 tokens de rsETH directamente en una billetera controlada por el atacante.
Escala Masiva: Esta suma representaba aproximadamente el 18 por ciento de la oferta circulante global de rsETH, con un valor de más de $292 millones.
❍ Armando la Eficiencia de Aave
Los atacantes inmediatamente apuntaron a los pools de liquidez profunda en Aave, depositando el rsETH robado como colateral en ambas implementaciones V3 y V4.
Extracción Máxima: Al utilizar el Modo de Eficiencia de Aave (E-Mode), que categoriza a rsETH como altamente correlacionado con el éter nativo, los atacantes aseguraron un ratio préstamo-valor del 93 por ciento. Bajo parámetros de riesgo estándar, este límite de endeudamiento habría estado estrictamente limitado al 72 por ciento.
El Drenaje: Esta parametrización agresiva permitió la extracción de $272 millones en WETH contra el colateral no respaldado. La configuración de E-Mode les permitió extraer $62 millones más de lo que los ajustes estándar habrían permitido.
100 Por Ciento de Utilización: A medida que el verdadero valor de mercado de rsETH colapsó instantáneamente, la lógica interna de Aave retrasó las actualizaciones de precios. El protocolo absorbió el colateral sin valor, llevando la tasa de utilización del pool de WETH a exactamente 100 por ciento y bloqueando a los depositantes legítimos de sus fondos.
❍ Umbrella Falla y los Depositantes Enfrentan Recortes
Los Guardianes de Aave ejecutaron protocolos de emergencia, deteniendo todos los mercados de rsETH y wrsETH para contener la contagión. Esto activó Umbrella, el sistema automatizado de gestión de riesgos en cadena que reemplazó al antiguo Módulo de Seguridad a finales de 2025.
La Falta: Umbrella quemó automáticamente sus activos apostados para cubrir la deuda mala, pero la bóveda solo contenía $50 millones en aWETH disponibles para un corte inmediato.
La Brecha de Financiación: Con la deuda mala total estimada entre $177 millones y $280 millones, el protocolo enfrentó una brecha de financiación irresoluble que oscilaba entre $127 millones y $150 millones.
Recortes Obligatorios: La documentación oficial del protocolo establece que una vez que los activos colaterales de Umbrella se quemen completamente, el déficit restante recae directamente sobre los depositantes ordinarios de WETH. Estos usuarios ahora enfrentan un recorte obligatorio, lo que significa una pérdida parcial permanente de sus depósitos principales.
Algunos Pensamientos Aleatorios 💭
Este evento es una lección brutal sobre los peligros de la composabilidad en DeFi. Los contratos inteligentes centrales de Aave se ejecutaron a la perfección, sin embargo, el protocolo aún fue llevado de rodillas. La explotación se originó completamente fuera del ecosistema de Aave en el puente Kelp DAO, pero la agresiva parametrización interna de Aave sirvió como el catalizador definitivo para la extracción. Cuando un protocolo depende completamente de la lógica matemática sin supervisión humana conservadora, los casos extremos se convierten en fallos sistémicos.
La decisión de otorgar un ratio préstamo-valor del 93 por ciento en un activo derivado como rsETH priorizó la eficiencia del capital sobre la supervivencia. Para los depositantes ordinarios de WETH obligados a absorber un recorte masivo, la distinción entre un contrato inteligente impecable y un modelo de riesgo defectuoso no ofrece consuelo alguno.
