#Aave #rsETH #RiskManagement #SeguridadCripto

Seguridad – ¿Está bajo control la crisis de Aave?
Una $200M respuesta en toda la industria, y qué significa para el riesgo en DeFi

El 18 de abril de 2026, el protocolo de reestaking líquido Kelp DAO sufrió la mayor explotación de DeFi del año. Un atacante abusó de una vulnerabilidad en el puente de Kelp impulsado por LayerZero, acuñando aproximadamente 116,500 rsETH por valor de unos $292 millones sin depositar ETH subyacente. Los tokens no respaldados se colocaron luego como garantía en Aave V3 para pedir prestado aproximadamente $236 millones en WETH y wstETH.

El resultado: aproximadamente $124 millones a $230 millones en deuda incobrable en Aave, dependiendo de cómo se distribuyan las pérdidas entre cadenas. En 48 horas, más de $9 mil millones en depósitos abandonaron Aave. El valor total bloqueado cayó de 26.4 mil millones de dólares a 17.9 mil millones. El TVL en toda la DeFi cayó más de $13 mil millones.

1. Qué ocurrió y por qué Aave sufrió el golpe
El ataque no comprometió los contratos inteligentes de Aave. El riesgo provino de rsETH, un token de reestaking líquido aceptado como garantía. Una vez drenado el puente, rsETH perdió su respaldo. Su precio colapsó, convirtiendo préstamos saludables en posiciones en dificultades que no pudieron ser liquidadas. El Guardian del Protocolo de Aave congeló los mercados de rsETH, wrsETH y WETH y estableció el préstamo a valor en cero.

El uso de WETH se disparó al 100%. Los usuarios no pudieron retirar. Las tasas de préstamo en ETH, USDT y USDC subieron a 8% y 14%. El protocolo no fue hackeado, pero absorbió el riesgo sistémico de un activo externo.

2. La respuesta: DeFi unido
La industria actuó rápidamente. Se formó un esfuerzo de ayuda coordinado llamado “DeFi United” para restaurar el respaldo de rsETH. Las contribuciones clave hasta ahora:
• Aave DAO: Propuso 25,000 ETH, por valor de aproximadamente $58 millones, de su tesorería. El fundador Stani Kulechov prometió 5,000 ETH personalmente.
• Mantle: Propuso una línea de crédito de hasta 30,000 ETH para ayudar a Aave a absorber la deuda incobrable restante.
• Fundación EtherFi: 5,000 ETH.
• Lido DAO: Hasta 2,500 stETH.
• Fundación Golem: 1,000 ETH.
• Consejo de Seguridad de Arbitrum: Congeló y movió 30,700 ETH rastreados hasta el explotador, ahora sujeto a una propuesta de gobernanza para liberarlos al fondo de recuperación.
Incluyendo promesas individuales y de protocolos, el fondo asciende a aproximadamente 69,534 ETH, o unos $161 millones. Con el ETH congelado de Arbitrum, los analistas estiman que la deficiencia podría cubrirse completamente si se aprueban todas las propuestas.

El propio Kelp DAO reportó haber recuperado 73,700 ETH, aunque aún quedaba una brecha de unos 89,500 ETH a finales de la semana pasada.

3. ¿Es resiliente el protocolo? Tres señales

Velocidad de contención: Aave pausó los mercados en una hora tras la explotación y evitó préstamos adicionales. El vector de ataque estaba fuera del protocolo, pero los controles de riesgo se activaron rápidamente.

Capacidad del tesoro: La tesorería de Aave DAO tiene $181 millones, incluyendo $62 millones en activos correlacionados con ETH. La propuesta de 25,000 ETH es una de las respuestas a incidentes respaldadas por mayor tesorería en la historia de DeFi. El Módulo de Seguridad de Umbrella tenía alrededor de $50 millones antes del evento.

Coordinación entre protocolos: Es la primera vez que múltiples DAOs, L2s y proveedores de infraestructura movilizan fondos en un vehículo compartido para respaldar la deuda incobrable de un solo protocolo. El precedente importa: demuestra que la gobernanza puede asignar capital a gran escala bajo presión.

4. La confianza no está completamente restaurada
Las cifras muestran progreso, pero la confianza tarda más. El saldo de staking de Aave cayó un 33% de $45 mil millones a $30 mil millones en tres días. El TVL total en DeFi ha bajado más del 27% desde principios de año. Los analistas señalan que los exploits repetidos están afectando el interés institucional.

El exploit también expuso un riesgo estructural: los puentes siguen siendo el eslabón más débil. El ataque utilizó una configuración DVN de 1-1 en LayerZero, donde un solo verificador comprometido podría firmar un mensaje fraudulento. No se robaron claves. No hubo error en los contratos inteligentes. Solo sabotaje en la infraestructura.

5. Por qué la gestión del riesgo sigue siendo importante
• Estándares de garantía: Los activos con dependencias de puente de punto único crean exposición sistémica. Los protocolos están reevaluando qué tokens puente califican como garantía.
• Descentralización de DVN: LayerZero y otros están pasando a configuraciones con múltiples verificadores. Flare pasó de dos a cuatro verificadores tras el evento.
• Reservas contra deuda incobrable: La gobernanza de Aave está probando si las tesorerías y los módulos de seguridad pueden cubrir eventos extremos sin socializar pérdidas. La votación sobre el gasto de 25,000 ETH es la variable inmediata.

Aave ha cubierto o alineado cobertura para aproximadamente el 80% del agujero mediante fondos recuperados, contribuciones de la DAO y promesas del ecosistema. Los contratos principales del protocolo no fueron vulnerados, y la respuesta de emergencia evitó una cascada mayor.

Eso demuestra una respuesta sólida del protocolo y una verdadera resiliencia bajo presión. Pero el episodio también es un recordatorio: en DeFi, el riesgo no se elimina, se transforma. Los puentes, oráculos y tokens de reestaking líquido son nuevas capas de confianza. Gestionarlos ahora es infraestructura crítica.

La confianza no está completamente destrozada, pero tampoco completamente restaurada. Cómo Aave finalice la deuda incobrable, cómo rsETH recupere respaldo y cómo la gobernanza actualice la política de garantías determinarán si esto se convierte en un caso de recuperación o en una advertencia sobre la complejidad.
#GateSquareDaily