Por Canuto Aave anunció una revisión profunda de sus activos listados en V3 después de que un exploit de rsETH por USD $230 millones revelara riesgos críticos en puentes entre cadenas, fuera del código central del protocolo.
***
- Aave atribuyó el ataque a una falla de verificación en el puente de KelpDAO impulsado por LayerZero, no a un error en sus propios contratos inteligentes.
- El atacante logró acuñar rsETH 116.500 sin respaldo y usar esos tokens como colateral para obtener préstamos que no pudieron recuperarse.
- El protocolo revisará puentes, oráculos, custodios, contratos de terceros y seguridad operativa antes de aprobar o ampliar listados de colateral.
Aave inició una revisión amplia de sus estándares de listado después del exploit de rsETH que dejó pérdidas por USD $230 millones en abril. El protocolo de préstamos descentralizados afirmó que el incidente no nació de una falla en sus propios contratos inteligentes, sino de una debilidad en la infraestructura externa que sostenía el activo usado como colateral.
El caso marca una advertencia importante para el ecosistema DeFi. Durante años, muchos análisis de riesgo se concentraron en auditorías de código, liquidez y volatilidad. Sin embargo, el ataque mostró que un activo puede parecer válido dentro de un protocolo y aun así depender de una infraestructura frágil fuera de su perímetro técnico inmediato.
Según informó CoinDesk, Aave publicó un informe post mortem en el que vinculó el ataque con el puente de KelpDAO impulsado por LayerZero. La falla permitió que un único verificador aprobara un mensaje entre cadenas falsificado. Ese mensaje abrió la puerta para acuñar rsETH 116.500 sin respaldo en Ethereum.
Un ataque que no empezó en Aave
Aave señaló que su código funcionó como estaba diseñado. El problema surgió porque el protocolo aceptó como colateral un token que el sistema trató como legítimo, aunque ese activo no tenía ether real detrás. Cuando el mercado identificó que el rsETH acuñado carecía de respaldo, los préstamos tomados contra ese colateral quedaron sin recuperación posible.
Para entender el caso, conviene explicar el rol de KelpDAO. Este servicio permite a los usuarios tomar ether ya bloqueado en Ethereum para generar recompensas de staking y reutilizarlo como colateral en otros protocolos. Ese modelo se conoce como restaking y busca ampliar el rendimiento potencial de los activos bloqueados.
El token rsETH representa el derecho del usuario sobre ese ether restakeado. Para mover ese token entre distintas blockchains, KelpDAO usa LayerZero, una infraestructura de mensajería y puente entre cadenas. Su función consiste en transmitir mensajes entre redes para que un activo emitido en una cadena pueda aparecer o interactuar en otra.
Los puentes suelen depender de verificadores independientes. Estos validan que un mensaje sea real antes de liberar tokens equivalentes en la cadena receptora. En el ataque de abril, el informe indica que bastó la aprobación de un solo verificador para aceptar un mensaje falso. Esa configuración de uno de uno resultó crítica.
LayerZero reconoció a principios de este mes que “cometió un error” al permitir que su propio sistema de verificación asegurara activos de alto valor bajo esa configuración. Aave tomó ese reconocimiento como parte de un problema mayor. Para el protocolo, DeFi ya no puede evaluar el riesgo de un activo solo por su contrato o su profundidad de mercado.
El falso colateral y el riesgo de contagio
El atacante aprovechó el mensaje falsificado para acuñar rsETH 116.500 en la cadena receptora sin que existiera ether real respaldando esos tokens. Luego depositó ese rsETH en Aave. El protocolo lo aceptó como colateral y permitió tomar préstamos contra él, tal como haría con cualquier activo aprobado bajo sus parámetros vigentes.
El golpe llegó cuando quedó claro que ese rsETH no representaba valor económico real. Aave no podía recuperar los préstamos porque el colateral que debía respaldarlos era, en la práctica, falso. El incidente expuso cómo una falla en un puente puede trasladarse rápidamente a un mercado de préstamos y generar pérdidas en otro punto del ecosistema.
Este tipo de riesgo resulta especialmente complejo para DeFi. Un protocolo puede auditar sus contratos, ajustar límites de préstamo y vigilar la liquidez de un token. Pero si ese token depende de un puente mal configurado, un oráculo débil, un custodio vulnerable o una práctica operativa deficiente, el riesgo puede entrar por una vía menos visible.
Aave sostuvo que las revisiones tradicionales no bastaron para capturar esa exposición. La volatilidad, la liquidez y las auditorías de contratos inteligentes siguen siendo variables relevantes. Aun así, el informe plantea que esas métricas ofrecen una visión incompleta cuando los activos dependen de redes de verificación, contratos externos y mecanismos de custodia.
El caso también muestra una tensión central de las finanzas descentralizadas. La interoperabilidad aumenta la utilidad de los activos y permite estrategias más sofisticadas de rendimiento. Pero cada conexión agrega dependencias. En un sistema altamente compuesto, la seguridad de un protocolo puede verse afectada por decisiones técnicas tomadas por otro.
Aave ampliará su marco de evaluación
Aave anunció que revisará cada activo listado en V3. La revisión cubrirá no solo los riesgos financieros y de contratos inteligentes, sino también la infraestructura de puentes, las dependencias de oráculos, los contratos de terceros, los acuerdos de custodia, las prácticas de seguridad operativa y la liquidez del mercado secundario.
El objetivo es elevar el estándar para aprobar nuevos colaterales o ampliar los ya existentes. En la práctica, esto significa que un token no bastará con mostrar demanda, historial de mercado o auditorías internas. También deberá demostrar que las piezas externas que sostienen su circulación y respaldo resisten escenarios adversos.
El protocolo también trabaja en defensas automatizadas. Una de las propuestas consiste en reducir automáticamente a cero la relación préstamo-valor de un activo cuando supere umbrales de riesgo predefinidos. Esa medida eliminaría de inmediato su poder de endeudamiento y buscaría evitar que las pérdidas se expandan a otros mercados.
La relación préstamo-valor, conocida como LTV por sus siglas en inglés, define cuánto puede pedir prestado un usuario frente al valor de su colateral. Si esa relación cae a cero, el activo ya no sirve para originar nuevos préstamos. En una emergencia, ese mecanismo puede actuar como un cortafuegos.
Desde el exploit, Aave afirmó que sus gestores de riesgo ya ejecutaron cerca de 295 cambios de parámetros en mercados V3. Entre ellos figuran 168 reducciones de límites de suministro y 66 reducciones de límites de préstamo. Estas acciones buscan limitar la exposición a activos individuales y reducir el daño potencial de fallas similares.
Una lección para todo DeFi
El informe post mortem de Aave llega en un momento en el que DeFi se vuelve más interconectado. Los usuarios ya no interactúan con protocolos aislados. En muchos casos, depositan activos que provienen de puentes, derivados líquidos, sistemas de restaking y capas de mensajería entre cadenas.
Esa arquitectura ofrece eficiencia, pero también crea cadenas de dependencia. Si una pieza externa falla, el impacto puede trasladarse hacia mercados que no escribieron el código vulnerable. El exploit de rsETH muestra que el perímetro de seguridad de un protocolo puede extenderse mucho más allá de sus propios contratos inteligentes.
Aave parece asumir esa nueva realidad con una postura más conservadora. La revisión de V3 y el rediseño de estándares de listado apuntan a identificar riesgos antes de que el colateral llegue a los balances del protocolo. También envían una señal a otros proyectos que dependen de activos complejos o de infraestructura entre cadenas.
El episodio no elimina la utilidad de los puentes ni del restaking. Pero sí obliga a mirar con más cuidado cómo se protegen los mensajes, quién verifica las transacciones y qué ocurre si un mecanismo externo emite activos sin respaldo. Para usuarios y desarrolladores, esa pregunta puede ser tan importante como una auditoría de contrato inteligente.
La principal conclusión es clara. En DeFi, un protocolo puede funcionar correctamente y aun así sufrir pérdidas si acepta colateral sostenido por una infraestructura vulnerable. Aave ahora intenta convertir esa lección costosa en un marco de riesgo más amplio para sus mercados V3.
ADVERTENCIA: DiarioBitcoin ofrece contenido informativo y educativo sobre diversos temas, incluyendo criptomonedas, IA, tecnología y regulaciones. No brindamos asesoramiento financiero. Las inversiones en criptoactivos son de alto riesgo y pueden no ser adecuadas para todos. Investigue, consulte a un experto y verifique la legislación aplicable antes de invertir. Podría perder todo su capital.
Suscríbete a nuestro boletín
Artículos Relacionados
Bitcoin
Bitcoin de la era Satoshi despierta tras 16 años: USD $1,47 millones de BTC en movimiento
Blockchain
Cardano cancela su Summit 2026 tras rechazo comunitario a usar ADA de tesorería
Blockchain
Hacker ético rescata USD $2 millones atrapados durante nueve años en una ICO de Ethereum
Blockchain