El negocio de empeños DeFi casi se desploma por un recibo

Escribir artículo: Clow

El 18 de abril, DeFi fue sumergido en agua.

Esta vez no fue un intercambio que fue hackeado, ni un contrato que fue vaciado directamente. Los atacantes obtuvieron un lote de tokens de garantía valorados en aproximadamente 290 millones de dólares, y los enviaron a Aave, un protocolo de préstamos en cadena, para tomar prestado ETH más fáciles de convertir en efectivo, como WETH y wstETH.

Estos tokens se llaman rsETH, como un “recibo de ETH”: los usuarios depositan ETH o activos relacionados en KelpDAO, reciben tokens de garantía, y en el futuro pueden canjear por los activos subyacentes. Aave funciona como una casa de empeño en cadena, donde los usuarios depositan activos como garantía y toman prestado ETH, stablecoins u otros activos.

El problema es que la bóveda detrás de este “recibo” tuvo un problema.

Es como si alguien usara un recibo de depósito caducado para solicitar un préstamo en un banco. La mercancía en la bóveda no alcanza, pero el sistema bancario aún no se ha dado cuenta y sigue otorgando préstamos a precios originales.

Lo más incómodo es que la ventanilla del banco no está rota, ni el proceso de préstamo está fallando. Lo que realmente se ha roto es la relación entre ese recibo y la bóveda. Lo que enfrentó Aave esta vez fue un problema similar.

Si solo fuera KelpDAO quien pierde tokens, sería un incidente de seguridad en un protocolo. Pero cuando los activos de garantía defectuosos entran en Aave, la situación se convierte en una especie de ejercicio de corrida en el sistema de crédito DeFi.

¿Quién sale peor parado? No KelpDAO, sino las personas que están bloqueadas.

El informe del incidente indica que el ataque ocurrió el 18 de abril de 2026 a las 17:35 UTC. Los atacantes engañaron a la vía rsETH de KelpDAO, que conecta Unichain con Ethereum, y liberaron 116,500 rsETH.

De estos, 89,600 rsETH fueron depositados en Aave, y tomaron prestados 82,700 WETH y 821 wstETH, por un total de aproximadamente 193 millones de dólares.

Aave no fue hackeado. Sus contratos no fallaron, ni el sistema de precios fue atacado directamente. El problema fue que los atacantes usaron un lote de rsETH que parecía aún valioso como garantía, y tomaron prestado activos reales y de buena calidad del pool de Aave. WETH representa el saldo de ETH que puede ser retirado del pool. Cuando se vació, los saldos en las cuentas de los depositantes permanecieron, pero el WETH disponible para retirar desapareció.

El respaldo de WETH en varios mercados alcanzó en un momento el 100% de utilización, con saldos inactivos casi nulos. Para los usuarios, esto significa:

Tienes dinero, pero ahora no puedes sacarlo.

Esto se asemeja mucho a la sensación de que un exchange suspende retiros, solo que en la cadena es aún más evidente. La interfaz no te dirá “el dinero se ha ido”, solo te mostrará “actualmente no hay liquidez”. Los depositantes ven su saldo, pero lo que realmente falta es la salida.

Aave luego congeló rsETH, wrsETH y el WETH en varios mercados. No fue que los usuarios hicieran algo mal, sino que el sistema tuvo que cerrar primero las entradas.

Este es también el punto que muchas personas no entienden a simple vista. Aave no fue hackeado y sus activos no fueron robados directamente, pero los activos de garantía que aceptó se volvieron “sucios” de repente. Los depositantes pensaban que solo estaban poniendo ETH en un pool de préstamos, pero en realidad, alguien con tokens de garantía defectuosos tomó activos valiosos prestados.

No fue que un cajón fuerte fue forzado, sino que el guardia fue engañado.

El canal cross-chain de KelpDAO usa LayerZero. Los puentes cross-chain son como sistemas de transferencia entre dos almacenes: en Ethereum, bloquean un lote de rsETH, y en la otra cadena emiten tokens correspondientes; cuando el usuario regresa, el sistema confirma que los tokens en esa cadena han sido destruidos, y entonces libera rsETH del almacén en Ethereum.

Cuantos más validadores verifiquen esta transacción, más seguro será. Pero KelpDAO en ese momento era un sistema de validación 1-de-1 DVN, con una única fuente de validación que tenía la autoridad. Un solo validador aprueba, otro libera.

Los nodos RPC son como “ventanillas de auditoría”. Según LayerZero, los atacantes hackearon dos nodos RPC y lanzaron DDoS contra otros RPC externos no comprometidos, forzando a la red de validación a leer datos de fuentes corruptas. Como resultado, los validadores vieron un mensaje inexistente: parecía que en otra cadena ya se había destruido suficiente rsETH, y podían liberar fondos en Ethereum.

El contrato en Ethereum confió en esa información, y liberó 116,500 rsETH.

Cada paso en la cadena parecía una transacción normal. Firma, mensaje, proceso, todo correcto. Solo que lo que ocurrió detrás nunca sucedió realmente. El código se ejecutó según la entrada, pero esa entrada ya había sido manipulada.

Esto es más complicado que una simple vulnerabilidad en un contrato. Una vulnerabilidad suele señalar una línea de código equivocada; en este caso, es como si la pantalla de vigilancia fuera manipulada, y los guardias abrieran la puerta siguiendo el procedimiento. La puerta se abre de forma legítima, pero la persona afuera no debería haber entrado.

Por eso, lo que realmente asusta de este incidente no es que un desarrollador haya cometido un error en el código, sino que muchas infraestructuras de confianza en los protocolos también pueden mentir. Puentes, nodos, redes de validación, que normalmente operan en segundo plano, pueden en un momento dado reescribir el destino de los activos.

¿Por qué Aave aceptó los activos de garantía defectuosos?

Los protocolos de préstamo temen más a las fluctuaciones de precios que a otra cosa. La volatilidad puede ser liquidada. El problema es que, aunque los activos de garantía parecen aún valer algo, el respaldo detrás de ellos ha colapsado.

rsETH es originalmente un recibo de ETH, con una estructura adicional sobre el ETH normal. Cuando pasa a redes de capa 2 como L2, se añade otra capa de riesgo por puente. Cuando entra en Aave, lo que en teoría es eficiencia de capital, en la práctica se vuelve una caja de Pandora de riesgos.

Si solo bajara el precio de ETH, Aave podría liquidar según las reglas. Pero el problema con rsETH no es solo una caída de precio, sino si esa “recibo” todavía puede canjearse por ETH. Cuando esa respuesta no está clara, la liquidación se vuelve incómoda, porque el mercado puede no querer asumir la pérdida.

El informe de Aave presenta dos escenarios de incumplimiento: si la pérdida la asumen todos los poseedores de rsETH, la deuda potencial sería de aproximadamente 1.237 millones de dólares; si solo se considera el rsETH en L2, la deuda sería de unos 2.301 millones de dólares, con mayor presión en Mantle y Arbitrum.

Estas cifras difieren mucho, pero ambas indican lo mismo: Aave no perdió por un fallo en la lógica del contrato, sino que sobreestimó la confiabilidad de esa “recibo de ETH”. Los atacantes también sabían esto, por eso no vendieron rsETH rápidamente, sino que introdujeron activos defectuosos en el mercado de préstamos y tomaron activos de buena calidad.

Antes, todos alababan la composabilidad: los activos de un protocolo podían integrarse sin problemas en otro. Pero ahora se ve el lado opuesto. La vulnerabilidad de un protocolo puede pasar sin problemas a otro.

El informe de Aave muestra que, al 20 de abril, el tesoro de DAO de Aave tenía aproximadamente 181 millones de dólares en activos. El 24 de abril, una propuesta de gobernanza reveló un plan de rescate: la coalición de rescate DeFi United coordinaría fondos de varias partes para cubrir la brecha de respaldo de rsETH.

El plan incluye los 40,400 rsETH congelados en KelpDAO, 30,800 ETH congelados en el Consejo de Seguridad de Arbitrum, un límite de crédito de hasta 30,000 ETH en Mantle, y 25,000 ETH que Aave DAO debe aportar.

Circle también fue involucrada. Es el emisor de USDC, la stablecoin, y empezó a preocuparse por el mercado de préstamos. No es caridad, sino una medida de protección de toda la cadena de valor.

Esto explica por qué la respuesta de rescate fue tan rápida. Aave no es un sitio aislado; es un punto de paso para muchas carteras, estrategias de rendimiento, comercio de stablecoins y fondos de market making. Si ese punto se bloquea, muchas otras plataformas relacionadas también sufrirán.

Para que USDC circule en DeFi, necesita de mercados de préstamos como Aave. Si los pools se bloquean por mucho tiempo, el uso de stablecoins se verá afectado. Rescatar a Aave no es solo salvar un protocolo, sino también mantener un canal de circulación de fondos.

Por eso, la verdadera pregunta que deja este incidente no es si Aave morirá, sino cuántos activos “que parecen ETH” en el futuro estarán respaldados por puentes, nodos RPC, validadores y configuraciones que nadie revisa.

DeFi no tiene un banco central. Pero ya cuenta con grupos de rescate temporales, votos en el tesoro, emisores de stablecoins y límites de crédito.

Esa es la cara más real: puede no tener una autoridad central, pero no puede carecer de confianza. Cuantas más capas de activos añada, mayor eficiencia, pero también más responsabilidad oculta.

Y esto no es solo finanzas más puras.

Los activos de garantía defectuosos, los más caros.