Tienes dinero en Aave, casi lo pierdes.

No es una broma.

Anoche, un ataque causó una pérdida de 236 millones de dólares en Aave.

Si Kelp DAO no hubiera pulsado el botón de pausa en 46 minutos, si el hacker hubiera seguido atacando un poco más—ahora al abrir Aave, quizás no verías tasas de interés, sino que el “proyecto ha quebrado”.

Esto no es para asustarte.

Es la mayor ataque en la historia de DeFi en 2026, incluso mayor que Drift.

¿Qué pasó?

Hay un protocolo llamado Kelp DAO, que emitió un token llamado rsETH, que puedes entender como un “certificado de recolateralización LRT”.

Este token se transfiere entre cadenas a través del puente LayerZero.

Y ayer, el hacker descubrió una vulnerabilidad en LayerZero—en pocas palabras:

Falsificó un “mensaje enviado desde la cadena A”, diciendo al puente de Kelp: “Oye, alguien ha depositado ETH en una cadena, acuña 116,500 rsETH para él”.

El contrato de Kelp creyó en ello.

Y así, de la nada, aparecieron 116,500 rsETH, representando el 18% del suministro en circulación, valorados en 292 millones de dólares.

Tras obtener estos rsETH, el hacker hizo dos cosas:

1. Los depositó como garantía en Aave, Compound, Euler, y tomó préstamos en ETH

2. Vendió una parte directamente

Finalmente, convirtió en efectivo 74,000 ETH, unos 280 millones de dólares.

Aave, por este colateral de rsETH, generó una pérdida de 236 millones de dólares.

¿Y qué significa esto?

El hacker usó moneda falsa como garantía para tomar ETH real. Ahora, esa moneda falsa no vale nada, y las garantías en Aave son aire. Esos 236 millones, Aave los soportó.

El token AAVE cayó un 10% directamente.

Y lo que más da escalofríos:

Cinco horas antes del ataque, Justin Sun retiró 53,665 ETH, valorados en 126 millones de dólares, de Aave.

El dinero todavía está en su wallet, sin mover.

No hay evidencia de relación alguna. Pero si en una mesa de poker ves a alguien levantarse justo cinco minutos antes de una explosión—¿qué pensarías?

Reflexiona.

El retiro de Sun fue más puntual que mi alarma.

La pausa de 46 minutos salvó a Kelp, pero no pudo evitar la pérdida de 236 millones en Aave.

¿Y cómo se valora el riesgo sistémico en sistemas como DeFi Lego?

Nadie se atreve a responder en serio.

Todos los días hablamos de “composabilidad”, promovemos “Lego monetario”—pero nadie te dice:

Cuando pones rsETH emitido por el Protocolo A como garantía en el Protocolo B, pides ETH en C, y terminas en D haciendo liquidez—

no sabes que una vulnerabilidad en el Protocolo A puede hacer que B, C y D exploten juntas.

Lo de ayer fue un ejemplo clásico de riesgo de contagio en la enseñanza:

1. Vulnerabilidad en LayerZero →

2. Kelp DAO acuña rsETH de la nada →

3. rsETH se deprecia →

4. Aave tiene pérdida →

5. El token AAVE cae un 10% →

6. Otros protocolos (SparkLend, Fluid, Upshift) congelan el mercado de rsETH

Una cadena rota, toda la estructura tiembla.

Hoy en día, la evaluación de “calidad de colaterales” en DeFi es casi inexistente.

Los derivados como rsETH, que ya son una estructura de tres niveles (ETH → LST → LRT → certificado cross-chain), ahora se usan como garantía en Aave sin control alguno.

¿Y qué revisión hizo Aave?

Ninguna.

Solo mira una cosa: la liquidez.

Mientras el pool tenga profundidad y el precio no cruce el umbral de liquidación, todo bien.

Pero el problema es—el ataque no es por volatilidad de precios, sino por creación de moneda falsa.

Por mucho que tus oráculos sean precisos, no puedes prevenir que “el total de tokens se duplique”.

¿Quién debe pagar por esto?

Ahora Aave tiene una pérdida de 236 millones.

- ¿Lo asume Aave? Entonces, los poseedores de AAVE se diluyen.

- ¿Lo paga Kelp DAO? Ya intentaron pausar en 46 minutos, ¿el tesoro tiene suficiente para cubrirlo?

- ¿Lo cubre LayerZero? La vulnerabilidad está en su infraestructura, pero es la capa base.

- ¿Lo pagas tú, usuario? Tu dinero en la wallet, robado por hackers, ¿lo pagas tú?

Nadie quiere responder. Porque la respuesta es dura:

El riesgo sistémico en DeFi, al final, lo pagan los proveedores de liquidez—es decir, tú.

¿Y tú, quién crees que debería pagar estos 236 millones de dólares en pérdidas?

A. Aave asume la pérdida (ellos cobran intereses a ti)

B. Kelp DAO paga (los tokens que emitiste)

C. LayerZero paga (su código tiene vulnerabilidad)

D. Los usuarios aceptan (ya no es la primera vez)

Deja tu respuesta en los comentarios. #山寨币强势反弹 #GatePreIPOs首发SpaceX $BTC $ETH