El protocolo de préstamos descentralizados Aave enfrenta uno de los episodios de mayor presión en su historia reciente. Un exploit vinculado a Kelp DAO y al sistema de mensajería cross-chain de LayerZero ha desencadenado un escenario de incertidumbre que podría traducirse en pérdidas de hasta $230 millones, dependiendo de cómo se gestione el déficit generado.
El incidente no solo pone a prueba la resiliencia de Aave, sino que también expone riesgos estructurales en la arquitectura de las finanzas descentralizadas (DeFi), particularmente en la interacción entre protocolos interconectados.
TE PUEDE INTERESAR: Mercados principales de Aave colapsan al 100% de utilización y bloquean miles de millones en liquidez
El origen del problema: un exploit en rsETH que desató el caos
En el centro del incidente se encuentra rsETH, un token de restaking líquido emitido por Kelp DAO. Este activo permite a los usuarios participar en estrategias de staking mientras mantienen liquidez, pero su funcionamiento depende de mecanismos complejos de interoperabilidad entre redes.
El problema surgió cuando un atacante logró manipular el sistema de verificación de mensajes cross-chain. En concreto, falsificó una transferencia que aparentaba ser legítima dentro del puente que conecta distintas blockchains. Como resultado, el sistema aprobó la emisión de nuevos tokens rsETH sin que existiera un respaldo real en la cadena de origen.
Este fallo permitió la liberación de aproximadamente 116.500 rsETH desde el lado de Ethereum del bridge, creando lo que en términos técnicos se conoce como colateral no respaldado.
Cómo Aave quedó expuesto a una deuda potencial millonaria
Lejos de vender inmediatamente los activos obtenidos, el atacante adoptó una estrategia más sofisticada: utilizó el sistema de Aave en su contra.
Depositó alrededor de 89,567 rsETH como colateral dentro del protocolo y, con base en ese respaldo artificial, tomó prestados cerca de $190 millones en ETH y otros activos, tanto en la red principal de Ethereum como en soluciones de capa 2 como Arbitrum.
Este movimiento dejó a Aave en una posición delicada: el protocolo permitió el préstamo porque, desde el punto de vista técnico, el sistema funcionaba correctamente. Sin embargo, el colateral que respaldaba esas posiciones estaba comprometido.
El resultado es un riesgo de “bad debt” (deuda incobrable), una de las mayores amenazas para cualquier protocolo de lending en DeFi.
Dos escenarios críticos: pérdidas de $123M o hasta $230M
Según el informe publicado por Aave Labs y el proveedor de servicios de riesgo LlamaRisk, el impacto final dependerá de cómo Kelp DAO gestione el déficit generado por el exploit.
Escenario 1: pérdidas distribuidas globalmente
Si las pérdidas se reparten entre todos los holders de rsETH, el token sufriría un “depeg” estimado del 15%. En este caso, Aave enfrentaría aproximadamente $123–124 millones en deuda incobrable.
Escenario 2: pérdidas concentradas en Layer 2
Si el impacto se limita a redes de capa 2, el golpe sería significativamente mayor. Las pérdidas podrían escalar hasta $230 millones, concentrándose en ecosistemas como Arbitrum y Mantle.
Este segundo escenario representa el mayor riesgo sistémico para Aave, ya que implicaría una concentración de pérdidas en mercados específicos con menor liquidez relativa.
Respuesta inmediata de Aave para contener el riesgo
Aave actuó con rapidez para mitigar los efectos del incidente. Entre las medidas adoptadas destacan:
- Congelación de los mercados de rsETH en todas sus implementaciones
- Reducción del ratio préstamo-valor (LTV) a cero
- Suspensión de nuevos préstamos respaldados por este activo
Estas acciones buscan evitar que el problema se amplifique y proteger la solvencia del protocolo mientras se evalúan soluciones estructurales.
TE PUEDE INTERESAR: Kelp DAO sufre ataque de $292 millones en rsETH tras exploit en puente LayerZero
Fallo estructural: debilidades en la verificación cross-chain
El exploit no fue un ataque directo a LayerZero, pero sí evidenció debilidades en la forma en que Kelp DAO verificaba los mensajes entre cadenas.
El atacante aprovechó supuestos incorrectos en la validación de datos, logrando que ciertos activos parecieran estar completamente respaldados cuando en realidad no lo estaban.
Este tipo de vulnerabilidad es especialmente crítico en el entorno DeFi, donde múltiples protocolos dependen unos de otros. Un fallo en un punto puede propagarse rápidamente a todo el ecosistema.
Reacción del mercado: retiro masivo de liquidez
El impacto no tardó en reflejarse en el comportamiento de los usuarios. Tras conocerse el incidente, aproximadamente $6.000 millones en valor total bloqueado (TVL) fueron retirados de Aave.
Este movimiento evidencia una pérdida temporal de confianza y una estrategia defensiva por parte de los participantes del mercado, que buscan reducir exposición ante la incertidumbre.
Además, el episodio ha reavivado el debate sobre los riesgos de composabilidad en DeFi, donde la interdependencia entre protocolos puede amplificar eventos negativos.
Implicaciones para Aave y su ecosistema
Aave no solo enfrenta un posible impacto financiero directo, sino también un desafío reputacional. Aunque el protocolo funcionó según lo diseñado, el incidente demuestra que la seguridad de un sistema DeFi no depende únicamente de su propio código, sino también de la solidez de los protocolos con los que interactúa.
Actualmente, el tesoro de la DAO de Aave cuenta con aproximadamente $181 millones en activos, una cifra relevante pero insuficiente para cubrir completamente el peor escenario planteado.
Las conversaciones con actores del ecosistema ya están en marcha, pero la incertidumbre persiste debido a que Kelp DAO aún no ha definido cómo distribuirá las pérdidas.
Un punto de inflexión para DeFi
El caso de Aave marca un precedente importante para la industria. Más allá del impacto inmediato, pone de relieve varios aspectos clave:
- La fragilidad de los sistemas cross-chain
- El riesgo de colateral mal valorado
- La necesidad de estándares más estrictos en validación de datos
- La importancia de la gestión de riesgos en protocolos interconectados
En un entorno donde la innovación avanza más rápido que la regulación, incidentes como este obligan a replantear las bases de seguridad y confianza en DeFi.
TE PUEDE INTERESAR: DeFi se desploma: pérdidas superan los $600 millones tras exploit de Kelp DAO y hunden el TVL a mínimos anuales
Perspectiva: incertidumbre a corto plazo, presión estructural a largo plazo
El desenlace dependerá en gran medida de las decisiones que tome Kelp DAO en los próximos días. La forma en que se distribuyan las pérdidas definirá no solo el impacto final en Aave, sino también la estabilidad de varios mercados dentro del ecosistema.
Mientras tanto, el episodio deja una lección clara: en DeFi, el riesgo no siempre es visible hasta que se materializa.
Aave, uno de los pilares del lending descentralizado, se encuentra ahora en una encrucijada donde la gestión del riesgo sistémico será determinante para su credibilidad y evolución futura.
