Básico
Spot
Opera con criptomonedas libremente
Margen
Multiplica tus beneficios con el apalancamiento
Convertir e Inversión automática
0 Fees
Opera cualquier volumen sin tarifas ni deslizamiento
ETF
Obtén exposición a posiciones apalancadas de forma sencilla
Trading premercado
Opera nuevos tokens antes de su listado
Contrato
Accede a cientos de contratos perpetuos
TradFi
Oro
Plataforma global de activos tradicionales
Opciones
Hot
Opera con opciones estándar al estilo europeo
Cuenta unificada
Maximiza la eficacia de tu capital
Trading de prueba
Introducción al trading de futuros
Prepárate para operar con futuros
Eventos de futuros
Únete a eventos para ganar recompensas
Trading de prueba
Usa fondos virtuales para probar el trading sin asumir riesgos
Lanzamiento
CandyDrop
Acumula golosinas para ganar airdrops
Launchpool
Staking rápido, ¡gana nuevos tokens con potencial!
HODLer Airdrop
Holdea GT y consigue airdrops enormes gratis
Pre-IPOs
Accede al acceso completo a las OPV de acciones globales
Puntos Alpha
Opera activos on-chain y recibe airdrops
Puntos de futuros
Gana puntos de futuros y reclama recompensas de airdrop
Inversión
Simple Earn
Genera intereses con los tokens inactivos
Inversión automática
Invierte automáticamente de forma regular
Inversión dual
Aprovecha la volatilidad del mercado
Staking flexible
Gana recompensas con el staking flexible
Préstamo de criptomonedas
0 Fees
Usa tu cripto como garantía y pide otra en préstamo
Centro de préstamos
Centro de préstamos integral
Centro de patrimonio VIP
Planes de aumento patrimonial prémium
Gestión patrimonial privada
Asignación de activos prémium
Quant Fund
Estrategias cuantitativas de alto nivel
Staking
Haz staking de criptomonedas para ganar en productos PoS
Apalancamiento inteligente
Apalancamiento sin liquidación
Acuñación de GUSD
Acuña GUSD y gana rentabilidad de RWA
Bankless:rsETH ataque sacude la industria DeFi
Autor: Jack Inabinet, Analista senior de Bankless; Traducción: @金色财经xz
Mientras la industria de las criptomonedas enfrenta dificultades ante las últimas vulnerabilidades de seguridad en DeFi, todo el sector debe afrontar una cuestión de vida o muerte: ¿Son realmente seguras las aplicaciones DeFi?
El fin de semana pasado, el principal mercado de préstamos en criptomonedas sufrió el ataque de mayor escala en lo que va del año a una vulnerabilidad de DeFi. Un atacante habilidoso logró, mediante la explotación de un puente entre cadenas basado en LayerZero en Kelp DAO, acuñar ilegalmente 116,500 rsETH.
Estos tokens recién acuñados (sin respaldo real en activos) con un valor aproximado de 290 millones de dólares fueron depositados en protocolos de préstamo principales como Aave, y utilizados como colateral para prestar miles de millones de dólares en ETH, lo que finalmente generó deudas incobrables y desencadenó una crisis de liquidez en toda la industria.
1. Origen del incidente
El ataque se desarrolló rápidamente en dos fases: el atacante primero explotó con éxito una vulnerabilidad en el puente entre cadenas de Kelp DAO basado en LayerZero, y luego, mediante rsETH sin respaldo en activos, retiró miles de millones de dólares en fondos de Aave.
Primera fase: La defensa de LayerZero se rompe
El puente rsETH de Kelp DAO depende de la infraestructura de transmisión de mensajes de LayerZero.
El problema clave radica en que: Kelp DAO, al integrar, utilizó la configuración de menor nivel de seguridad — es decir, una red de validación descentralizada 1/1 (DVN). Esto permitió que un solo nodo validado operado por LayerZero Labs tuviera permisos completos para aprobar mensajes entre cadenas.
Aunque LayerZero afirmó en análisis posteriores que advirtió contra el uso de configuraciones de seguridad mínima y recomendó que los puentes de alto valor usaran múltiples validadores, su protocolo aún permite despliegues en modo 1/1.
Más aún, aproximadamente el 47% de los protocolos en LayerZero utilizan esta misma configuración.
El atacante aprovechó esta vulnerabilidad de punto único, falsificó un mensaje válido entre cadenas, y logró que el puente operado por LayerZero acuñara directamente en una dirección controlada por el atacante 116,500 rsETH sin respaldo en activos.
Aunque el contrato multisig de Kelp DAO congeló inmediatamente los contratos principales, ya era demasiado tarde para revertir los daños que seguirían…
Segunda fase: Retiro de liquidez en Aave
Con los tokens robados, el atacante depositó gran parte de su rsETH en Aave V3 (y en menor medida en plataformas como SparkLend, Fluid, etc.).
A través de esta posición de colateral ficticia, el atacante pudo usar tokens sin valor real como garantía, y prestar una cantidad enorme de WETH, generando en las transacciones relacionadas una deuda estimada en más de 262 millones de dólares para los prestamistas de Aave.
Frente a este riesgo, los prestamistas de DeFi más alertas no esperaron a que la deuda incobrable erosionara sus posiciones, sino que, impulsados por el pánico, retiraron fondos en masa durante el fin de semana. Tras el ataque, los protocolos principales perdieron en total más de 7,000 millones de dólares en activos, de los cuales solo Aave retiró 6,2 mil millones, aproximadamente el 23% del valor total bloqueado (TVL).
El pánico en el mercado llevó a que las tasas de colateralización en varios mercados de ETH, USDC y USDT en Aave V3 se dispararan hasta el 100%, congelando prácticamente la liquidez y haciendo que los usuarios no pudieran retirar más activos.
2. Estado actual
Con decenas de miles de millones de dólares en activos prácticamente congelados en el mercado de préstamos en criptomonedas, los riesgos se superponen y continúan escalando.
Los depositantes no pueden gestionar activamente sus posiciones porque sus colaterales ya fueron prestados, y las tasas de interés, afectadas por la utilización de fondos, se disparan, aumentando la presión sobre los prestatarios. A medida que la liquidez se agota y el pánico se extiende, crecen las preocupaciones por la acumulación de más deudas incobrables y la expansión de riesgos en DeFi.
Para limitar las pérdidas, la gobernanza de Aave desactivó completamente los mercados de rsETH en las versiones V3 y V4. Sin embargo, esto es solo una medida correctiva posterior; antes de resolver la vulnerabilidad grave, el protocolo aún debe gestionar deudas incobrables por varios cientos de millones de dólares.
3. ¿Qué puede suceder a continuación?
El módulo de staking de Aave V3 actualmente mantiene 201 millones de dólares en stablecoins y 56 millones en WETH, fondos que podrían usarse para absorber el déficit generado por la vulnerabilidad de rsETH. Además, el módulo de seguridad original del protocolo incluye tokens AAVE por valor de 266 millones de dólares, que podrían venderse para cubrir el resto del déficit.
Aunque el tamaño de estos fondos de reserva sugiere que Aave podría absorber la pérdida sin quedar en insolvencia, la vulnerabilidad de rsETH ha generado preocupaciones más profundas sobre la resiliencia del mercado de préstamos descentralizado.
Este impacto de gran escala podría desalentar a los usuarios de prestar fondos — y aún más, de aceptar riesgos mediante colaterales o módulos de seguridad — lo que podría socavar la confianza en la estrategia de liquidez unificada en la que se basa Aave V3.
El sistema económico cripto debería construirse sobre una base de resistencia y minimización de confianza. Sin embargo, en la competencia por ofrecer una experiencia de usuario más fluida o funciones más llamativas, algunos equipos han tomado atajos, introduciendo puntos débiles en su diseño, como la caída del puente entre cadenas de LayerZero con validación 1/1 en Kelp DAO, que es un ejemplo claro.
Este tipo de incidentes pone en evidencia los riesgos de sistemas mal diseñados o semi-centralizados, y revela el alto costo que puede implicar tomar atajos en el diseño.
Si el mundo cripto quiere cumplir sus promesas, los constructores deben abandonar arquitecturas frágiles y volver a priorizar la seguridad, en lugar de depender de esquemas de firma múltiple o firmas únicas vulnerables.