Aave enfrenta riesgo de hasta USD $230 millones tras exploit de Kelp DAO y caos en DeFi

Aave enfrenta uno de los episodios de riesgo más delicados de su historia reciente tras el exploit que afectó a rsETH de Kelp DAO. El incidente dejó al protocolo expuesto a colateral sin respaldo, con un posible impacto de entre USD $123 millones y USD $230 millones, mientras usuarios retiraron cerca de USD $6.000 millones ante la incertidumbre.
***

• Un atacante creó rsETH sin respaldo mediante un fallo en la verificación de mensajes entre cadenas y luego lo usó como colateral en Aave.
• Aave estima pérdidas de alrededor de USD $123 millones o hasta USD $230 millones, según cómo Kelp DAO distribuya el déficit.
• Tras el incidente, el protocolo congeló mercados de rsETH y vio salidas por cerca de USD $6.000 millones en valor total bloqueado.

Aave podría enfrentar pérdidas de hasta USD $230 millones después del exploit que afectó a rsETH, un token líquido de restaking emitido por Kelp DAO, y que terminó sacudiendo a varios segmentos del ecosistema DeFi. El episodio dejó en evidencia cómo un problema en infraestructura entre cadenas puede propagarse rápidamente hacia protocolos de préstamos con fuerte exposición a colateral externo.

De acuerdo con un informe elaborado por Aave Labs y el proveedor de servicios LlamaRisk, publicado en el foro de gobernanza del protocolo, el incidente permitió la creación de colateral sin respaldo que luego fue usado para pedir prestados cerca de USD $190 millones en ETH y activos relacionados. Aunque Aave aseguró que sus sistemas operaron según lo previsto, el protocolo quedó expuesto a una posible deuda incobrable de gran escala, reseña CoinDesk.

El resultado final dependerá de cómo Kelp DAO decida asignar el déficit derivado del exploit. El informe plantea dos escenarios principales. En el más moderado, si las pérdidas se socializan entre todos los holders de rsETH, Aave enfrentaría alrededor de USD $123 millones a USD $124 millones en pérdidas. En el escenario más severo, si el daño se limita a redes de Capa 2, la exposición podría subir hasta cerca de USD $230 millones.

Para quienes no siguen de cerca este tipo de infraestructura, los puentes entre cadenas permiten mover activos de una blockchain a otra bloqueando tokens en una red y emitiendo representaciones equivalentes en otra. Esa arquitectura es útil para expandir liquidez, pero también introduce riesgos adicionales. Cuando falla la verificación de mensajes, un sistema puede llegar a aceptar activos que parecen válidos, aunque en realidad carezcan de respaldo suficiente.

Cómo ocurrió el exploit y por qué Aave quedó expuesto

Según el reporte, el incidente se centró en el mecanismo que Kelp DAO usaba para mover rsETH entre blockchains. El atacante falsificó un mensaje de transferencia que parecía legítimo. El sistema aprobó esa transferencia pese a que los tokens nunca fueron retirados de la cadena de origen, lo que en la práctica permitió crear nuevas unidades sin respaldo real.

Ese proceso liberó 116.500 rsETH del lado de Ethereum del puente. En vez de vender los activos en el mercado abierto, el atacante optó por una estrategia más dañina para el ecosistema crediticio. Depositó 89.567 rsETH en Aave como colateral y usó esa posición para pedir prestados aproximadamente USD $190 millones en ETH y activos vinculados, tanto en Ethereum como en Arbitrum.

El riesgo para Aave no provino de una falla propia de su motor de préstamos, sino de haber aceptado como garantía un activo cuyo respaldo quedó en duda tras el exploit. Ese matiz es importante. El protocolo siguió sus reglas normales de valoración y préstamo, pero dichas reglas partían de la premisa de que rsETH estaba correctamente respaldado, una suposición que dejó de ser confiable después del ataque.

El informe también indicó que surgieron preocupaciones sobre posiciones respaldadas por colateral mal valorado o potencialmente no totalmente cubierto. En ecosistemas DeFi interconectados, ese tipo de deterioro no solo amenaza una plataforma, sino que eleva la percepción de riesgo sobre la infraestructura entera, sobre todo cuando hay dependencia de puentes y sistemas externos de mensajería entre cadenas.

Los dos escenarios de pérdidas que estudia Aave

Aave detalló dos posibles desenlaces financieros. El primero supone que las pérdidas del exploit se distribuyan entre todos los holders de rsETH. En ese caso, el token sufriría un desacople estimado de 15%, es decir, el valor de los tokens en staking ya no reflejaría completamente el ETH subyacente. Bajo esa hipótesis, la deuda incobrable para Aave rondaría USD $123 millones o USD $124 millones, según la estimación citada en el reporte.

El segundo escenario es bastante más agresivo. Si Kelp DAO decide aislar las pérdidas en las redes de Capa 2, el impacto sobre Aave subiría hasta aproximadamente USD $230 millones. El daño se concentraría sobre todo en redes como Arbitrum y Mantle, donde la exposición al colateral afectado sería mayor y, por tanto, más difícil de absorber sin consecuencias notables.

La diferencia entre ambos casos no es menor. Socializar el déficit entre todos los rsETH reparte el golpe de forma más amplia, aunque también castiga a usuarios que no participaron en la maniobra maliciosa. Aislarlo en ciertas redes puede proteger a algunos segmentos, pero intensifica las pérdidas donde el activo comprometido tuvo mayor circulación o uso como garantía.

Hasta ahora, Kelp DAO no ha explicado de qué manera piensa distribuir esas pérdidas. Esa ausencia de definiciones mantiene abierta la incertidumbre sobre el daño final que deberá asumir Aave. El punto no es solo contable. También influye sobre la confianza del mercado y sobre la velocidad con que usuarios e instituciones decidan volver a interactuar con los mercados afectados.

Respuesta de emergencia y salida masiva de capital

Aave Labs afirmó que reaccionó con rapidez para contener el riesgo. En cuestión de horas, el protocolo congeló los mercados de rsETH en todas sus implementaciones, fijó en cero las relaciones préstamo-valor para ese activo y detuvo nuevos préstamos respaldados con dicho token. Con ello buscó evitar que la exposición siguiera creciendo mientras se evaluaba el alcance real del problema.

La reacción de los usuarios fue inmediata. Cerca de USD $6.000 millones en valor total bloqueado salieron de Aave tras conocerse el incidente. Esa retirada masiva reflejó un movimiento defensivo por parte de participantes que prefirieron reducir exposición mientras no existiera claridad suficiente sobre la magnitud del agujero potencial y sobre la solvencia de las posiciones vinculadas a rsETH.

Ese tipo de salida no necesariamente implica una falla estructural irreversible en Aave, pero sí muestra cuán sensible es DeFi a episodios de incertidumbre. Cuando el mercado percibe que el colateral puede estar deteriorado o que la contabilidad de respaldo ya no es totalmente confiable, la prioridad pasa a ser liquidez y resguardo, no rendimiento.

El episodio también destacó la exposición indirecta del protocolo a sistemas externos. En otras palabras, Aave no solo debe gestionar el riesgo propio de su arquitectura, sino también el derivado de activos integrados, puentes, oráculos y capas de mensajería. Esa dependencia es una fortaleza en términos de interoperabilidad, pero puede convertirse en un canal de contagio cuando un eslabón falla.

LayerZero, Kelp DAO y las implicaciones para DeFi

El exploit surgió a partir de debilidades en la forma en que Kelp verificaba mensajes entre cadenas utilizando LayerZero. El reporte subraya que LayerZero no fue hackeado directamente. Sin embargo, su capa de mensajería dejó expuestos supuestos defectuosos en la implementación de validación que usaba Kelp DAO, lo que abrió la puerta para que el atacante hiciera pasar ciertos activos como plenamente respaldados cuando no lo estaban.

Ese detalle es clave porque desplaza parte de la discusión desde el software base hacia la integración concreta entre protocolos. En DeFi, una herramienta puede no estar comprometida de forma directa y aun así convertirse en el vehículo mediante el cual afloran malas configuraciones, controles insuficientes o validaciones incompletas en aplicaciones construidas sobre ella.

Más allá de las cifras inmediatas, el caso reaviva un debate conocido en la industria: la fragilidad de los sistemas de puentes entre cadenas. Estas soluciones son esenciales para escalar liquidez y utilidad entre redes, pero suelen ser uno de los puntos con mayor superficie de ataque. Cada mensaje falsificado o verificación defectuosa puede traducirse no solo en pérdidas directas, sino en un deterioro de confianza que golpea a múltiples protocolos al mismo tiempo.

El informe también señaló que la tesorería de la DAO de Aave posee aproximadamente USD $181 millones en activos y que continúan las conversaciones con participantes del ecosistema para abordar las posibles pérdidas. Esa cifra da una referencia sobre la capacidad de respuesta del protocolo, aunque no resuelve por sí sola un impacto potencial que, en el peor escenario planteado, superaría ampliamente ese monto.

Según informó CoinDesk, la situación sigue en desarrollo y el desenlace dependerá de decisiones aún no anunciadas por Kelp DAO. Por ahora, el caso deja una señal de alerta para todo el ecosistema DeFi: incluso cuando un protocolo actúa rápido y sus mecanismos internos funcionan como fueron diseñados, la dependencia de infraestructura externa puede convertir un exploit ajeno en una amenaza sistémica de gran magnitud.

Imagen original de DiarioBitcoin, creada con inteligencia artificial, de uso libre, licenciada bajo Dominio Público

Este artículo fue escrito por un redactor de contenido de IA

ADVERTENCIA: DiarioBitcoin ofrece contenido informativo y educativo sobre diversos temas, incluyendo criptomonedas, IA, tecnología y regulaciones. No brindamos asesoramiento financiero. Las inversiones en criptoactivos son de alto riesgo y pueden no ser adecuadas para todos. Investigue, consulte a un experto y verifique la legislación aplicable antes de invertir. Podría perder todo su capital.

Suscríbete a nuestro boletín