El equipo central de gestión de riesgos acaba de ser destituido, y Aave ahora enfrenta un incumplimiento de 200 millones de dólares.

En la madrugada del 18 de abril de 2026, unas horas después del ataque a KelpDAO, el desarrollador de Solidity 0xQuit publicó en X.

「Desearía poder traer mejores noticias, pero parece que WETH en Aave está perdido. Si los retiros son posibles, hacedlo, pero puede que sea demasiado tarde. Tras el acuerdo de Umbrella, los depósitos normales deberían ser parcialmente retirables. Este es un gran golpe para la visión DeFi.」

En el momento de esta publicación, el fundador de Aave, Stani Kulechov, acababa de publicar otra declaración en la misma plataforma: rsETH ha sido congelado, los contratos inteligentes de Aave están «ilesos», el problema radica en KelpDAO. Las dos publicaciones estaban rodando lado a lado en la misma línea de tiempo.

Ambas publicaciones afirman hechos, pero abordan diferentes preguntas. Stani responde quién hizo mover el código, 0xQuit responde quién asumirá las consecuencias.

La respuesta es: no se movió ningún código. Y las consecuencias recaen sobre todos los que depositaron WETH en Aave, pensando que solo estaban ganando algo de interés.

Durante los seis meses previos al ataque, el sistema de gobernanza de Aave aprobó cada decisión que hizo esto posible. Nadie hackeó ningún código. Alguien utilizó un conjunto de reglas aprobadas para hacer que el protocolo colapsara como estaba diseñado. Esto merece ser aclarado.

Doce Días

El 6 de abril, el fundador de Chaos Labs, Omer Goldberg, publicó en X anunciando que la colaboración de Chaos Labs con el Aave DAO terminaría oficialmente.

En los últimos tres años, Chaos Labs ha liderado la gestión de parámetros de riesgo de Aave. Durante este periodo, el TVL de Aave creció de 5.2 mil millones a más de 26 mil millones. Detrás de cada aumento de mil millones, los modelos de Chaos Labs calcularon los límites: qué parámetros podían ser ajustados y cuáles no.

Goldberg dio tres razones para la salida. Una es un desacuerdo fundamental sobre la estrategia de riesgo, especialmente tras la introducción de la nueva arquitectura en Aave V4. En segundo lugar, el aumento significativo en la complejidad operativa que trajo V4 no fue adecuadamente compensado. En tercer lugar, incluso bajo un escenario de presupuesto de 5 millones de dólares, Chaos Labs permaneció en una posición de pérdidas, lo que lo hacía económicamente insostenible.

“Esta asociación ya no refleja cómo creemos que debe gestionarse el riesgo”, escribió.

La respuesta de Aave llegó rápidamente. Stani Kulechov declaró que el protocolo no detendría sus operaciones, y la entidad de gestión de riesgos LlamaRisk asumiría todas las responsabilidades, con el "sistema de gestión de riesgos en dos capas continuando en funcionamiento." LlamaRisk luego emitió un comunicado, prometiendo "plena continuidad operativa," y presentó una propuesta formal de renovación a la DAO de Aave en el transcurso de una semana. Externamente, esto fue visto como una transición ordenada.

Tres días después, el 9 de abril, LlamaRisk, como nuevo gestor de riesgos, presentó el primer conjunto de ajustes rutinarios: aumentando el límite de suministro de rsETH en la red principal de Aave V3 de 480,000 a 530,000 tokens. La justificación proporcionada se basó en datos en cadena, utilización saludable, liquidez suficiente y concentración bien dentro de los umbrales. No se notaron anomalías.

Nueve días después, el 18 de abril a las 17:35 UTC, un atacante en la red principal de Ethereum llamó al contrato LayerZero EndpointV2, inyectando un mensaje cruzado forjado en el contrato puente de rsETH de Kelp DAO. El contrato puente no detectó que el mensaje era falso. 116,500 tokens de rsETH fluyeron a la dirección controlada por el atacante.

Cuarenta y seis minutos después, se activó el mecanismo de pausa de emergencia de Kelp DAO, frustrando los dos intentos adicionales de robo del atacante, que en conjunto ascendieron a alrededor de 100 millones de dólares. Sin embargo, el lote inicial no pudo ser recuperado. El objetivo del atacante era aproximadamente 390 millones de dólares, de los cuales obtuvo tres cuartas partes.

Antes de la activación del mecanismo de pausa, el atacante había depositado el rsETH robado en Aave V3 como garantía, pidiendo prestada una cantidad significativa de WETH y ETH. Tras la difusión del mensaje del ataque, el precio de mercado del rsETH comenzó a colapsar, haciendo que el valor de la garantía se evaporara. Las posiciones que eran técnicamente solventes se volvieron ilíquidas. Así se incurrió en deuda mala.

El Documento Que Nunca Se Escribió

El 19 de enero de 2026, la comunidad de Aave aprobó la propuesta de gobernanza 434. El núcleo de la propuesta era añadir WETH al E-Mode de LST de rsETH, mientras se aumentaba la relación máxima préstamo-valor para rsETH en este modo del 92,5% al 93%. Los cambios numéricos fueron menores, pero las implicaciones eran claras: los usuarios podían pedir prestados 93 dólares en WETH en Aave utilizando 100 dólares en rsETH.

La propuesta está impulsada por el ACI (Iniciativa Aave Chan, facilitador de la gobernanza central de Aave). El texto de la propuesta describe la expectativa: al introducir la estrategia circular rsETH/WETH para absorber la liquidez de ETH inactiva en el protocolo, se anticipa que traerá "hasta 1.000 millones de dólares de entrada de rsETH," mientras se optimiza la tasa de utilización del pool de WETH.

La propuesta tiene otra justificación, más directa, que es "mantenerse competitivo" con ezETH y weETH. Dado que los activos LRT de los competidores ya han recibido parámetros similares en Aave, el rsETH también debería alinearse.

Esta es una lógica común de toma de decisiones en DeFi llamada benchmarking competitivo. Lo que tiene tu competidor, tú también deberías tenerlo; de lo contrario, la liquidez se drenará. En el contexto de buscar eficiencia de capital, esta lógica es casi impecable. También tiene una presión inherente unidireccional, donde los parámetros solo pueden aumentarse, no disminuirse. Cualquier propuesta que busque endurecer los parámetros será etiquetada como "debilitar la competitividad." El resultado es una industria que se desplaza en la misma dirección sin cuestionar a dónde se está dirigiendo.

Cuando te diriges al documento de gobernanza de la Propuesta 434, falta una cosa: un informe de evaluación de riesgos que aborde específicamente la pregunta, "¿Se puede aumentar el LTV de rsETH al 93%?" Cuando rsETH se listó por primera vez en noviembre de 2024, LlamaRisk presentó una evaluación exhaustiva del riesgo de colateral, analizando el mecanismo de acumulación de rendimiento de rsETH, la estructura del contrato inteligente y las características de liquidez. Sin embargo, ese informe respondió a la pregunta "¿Puede rsETH ser listado en Aave?" Cuando la Propuesta 434 elevó el LTV al 93%, la justificación en el documento de gobernanza se basó en la comparación y las expectativas de ingresos del protocolo.

Otros dos protocolos DeFi que aceptaron rsETH proporcionaron respuestas diferentes. SparkLend estableció el LTV para rsETH en el 72%, mientras que el ratio mínimo de colateral fijo del protocolo Fluid equivale aproximadamente a un LTV del 75%. Ambos congelaron el mercado de rsETH en cuestión de horas tras un ataque. La cifra de Aave es del 93%. Los 21 puntos porcentuales adicionales aportan una ventaja competitiva.

El 6 de abril, Chaos Labs anunció su retirada de la gestión de riesgos de Aave. El 9 de abril, el recién nombrado LlamaRisk presentó una propuesta de ajuste rutinario de los Risk Stewards, aumentando el límite de suministro de rsETH de 480,000 a 530,000 tokens. La razón citada fue la salud de los datos en cadena, la utilización normal, la liquidez suficiente y la concentración de posiciones aceptable. Todas las métricas están en cadena.

Esas métricas en cadena registran el estado de circulación de rsETH dentro de Aave, cuántas personas lo están utilizando, si el riesgo está diversificado y si la liquidez es suficiente. Lo que no cubren es: qué tipo de puente cruzó rsETH antes de llegar a Aave.

Una Alerta No Leída

En las primeras horas del 10 de marzo de este año, la blockchain de Ethereum vio una serie de transacciones de liquidación inusuales. 34 posiciones altamente apalancadas que utilizaban wstETH como colateral fueron liquidadas una tras otra sin ninguna advertencia. Antes de que los usuarios pudieran reaccionar, los bots de liquidación ya habían completado la operación.

El desencadenante fue un error de configuración en el sistema de oráculos CAPO de Aave, donde una discrepancia en la tasa de instantánea con la marca de tiempo de la instantánea llevó a un precio reportado de wstETH de alrededor de 1.1939, mientras que la tasa de mercado real era de alrededor de 1.228. La desviación fue del 2.85%, casi insignificante en circunstancias normales.

Sin embargo, en el entorno E-Mode, una subestimación del precio del 2,85% fue suficiente para llevar 34 posiciones altamente apalancadas más allá del umbral de liquidación, resultando en aproximadamente 27 millones de dólares en pérdidas erróneas por liquidación. Desde el sistema Edge Risk de Chaos Labs emitiendo recomendaciones hasta que el AgentHub de BGD ejecuta en el siguiente bloque, y luego los bots de liquidación realizan la operación, toda la cadena de eventos se desarrolló en cuestión de minutos. No quedó ninguna ventana para la intervención humana.

Después del evento, Chaos Labs publicó un informe de análisis. La conclusión fue: "El evento no refleja un defecto en el diseño subyacente de CAPO o en el oráculo de riesgo fuera de la cadena, sino más bien una discrepancia en la configuración en la cadena debido a diferentes restricciones de actualización sobre la tasa de instantánea y la marca de tiempo."

Un problema de configuración, no un defecto de diseño. Un accidente, no una advertencia.

Aave, a través de una propuesta de gobernanza, proporcionó una compensación total a los usuarios afectados desde el fondo de recuperación y el tesoro de la DAO. El asunto quedó así cerrado. Un informe posterior de la industria declaró: "A pesar de este evento, los depósitos y préstamos generales de Aave se mantuvieron estables a principios de 2026, sin un debilitamiento sustancial de la confianza en el diseño central del protocolo."

Seis semanas después, el término "diseño central" enfrentaría otra prueba en una escala diferente.

Llega la factura

Aproximadamente una hora después del ataque, Stani Kulechov enfatizó en X que los contratos inteligentes de Aave en sí mismos estaban "sin afectar." No hubo problemas técnicos, ningún código fue comprometido, ninguna clave privada fue robada, los contratos operaron precisamente como se pretendía.

El problema radica aquí. Cuando rsETH sufrió un ataque y una fuerte caída en su valor, el diseño "altamente correlacionado" de E-Mode resultó contraproducente: el sistema continuó considerando el rsETH significativamente devaluado como colateral válido, impidiendo la liquidación normal del WETH y ETH prestados. El mecanismo diseñado para aumentar la eficiencia del capital se convirtió en un mecanismo que bloqueó deudas malas en situaciones extremas.

La escala estimada de la deuda mala está entre 177 millones y 200 millones de dólares (según diversas fuentes como Phemex y Yahoo Finance), con el total del monto prestado por el atacante superando los 236 millones de dólares (según CryptoBriefing). Con 116,500 rsETH como colateral, bajo un LTV de E-Mode del 93%, se podría pedir prestado hasta alrededor de 272 millones de dólares en WETH, aproximadamente 62 millones de dólares más que el límite de un LTV estándar del 72%. E-Mode comprimió el margen de seguridad del 28% al 7%, haciendo que la posición sea vulnerable incluso a una ligera fluctuación de precios.

Aave tiene un mecanismo de seguridad diseñado específicamente para esta situación llamado Umbrella. Los usuarios pueden depositar aWETH en la bóveda de seguridad de Umbrella para obtener rendimiento adicional. En caso de un déficit del protocolo debido a deudas incobrables, estos activos serán quemados automáticamente para cubrir las pérdidas sin necesidad de votación de gobernanza. Los usuarios que eligen activamente depositar son principalmente aquellos que comprenden el diseño del mecanismo, están dispuestos a intercambiar su capital por un rendimiento más alto y están dispuestos a apoyar la red de seguridad del protocolo. Umbrella se lanzó a finales de 2025, reemplazando el antiguo Módulo de Seguridad, y esta es su primera prueba real.

Hay aproximadamente 50 millones de dólares en WETH en Umbrella disponibles para absorber pérdidas (según Forbes). La magnitud de la deuda incobrable varía entre 177 millones de dólares y 200 millones de dólares, dejando una brecha entre los dos números de alrededor de 127 millones a 150 millones de dólares.

Esta porción es asumida por los depositantes ordinarios de WETH que no depositan. Según la documentación oficial de Aave sobre el mecanismo Umbrella, después de que los activos colaterales sean quemados, "los proveedores de WETH restantes deberían ser parcialmente retirables, pero la recuperación total no está garantizada, y los depositantes pueden enfrentar un recorte." El término "recorte" significa una pérdida parcial del capital.

La noche del ataque, Marc Zeller se pronunció. Él es el fundador de ACI y un defensor clave de las Propuestas 205 y 434, y dejará Aave en julio de este año. Desestimó las "estimaciones extremas" externas del tamaño de la deuda incobrable, afirmando que el número real era "mucho más bajo que esa cifra," y urgió a los usuarios a retirar WETH de Aave V3 para reducir el riesgo. También añadió que "este evento pondrá a prueba efectivamente a Umbrella," como si fuera una prueba de estrés en lugar de la pérdida real del capital de los usuarios.

Ese día, el token AAVE cayó un 10.27%, cerrando a 105.73 dólares. Esto ocurrió mientras el tamaño de la deuda incobrable aún estaba indeterminado, y un gran número de depositantes de WETH estaban esperando la liquidación de Umbrella.

Epílogo

La publicación de 0xQuit se difundió ampliamente la noche del ataque. Muchos de los que la publicaron eran depositantes de WETH en Aave. Antes de volver a publicarlo, leyeron esas pocas líneas una y otra vez. "Después del acuerdo de Umbrella, los depósitos normales deberían ser parcialmente retirables." ¿Cuánto es "parcialmente"? ¿Qué significa "normal"? ¿Qué implica la palabra "debería"?

La frase final de 0xQuit fue: "Esto es un gran golpe para la visión DeFi." La visión DeFi incluye un principio: tus activos, tus reglas, y nadie puede tomar decisiones en tu nombre a tus espaldas.

Esas decisiones se tomaron en los últimos seis meses, en el texto de las propuestas del foro de gobernanza. No hubo un hacker irrumpiendo con fuerza bruta, ni una única vulnerabilidad de código que determinara este resultado. Fue la búsqueda repetida de "eficiencia", el desprecio por las "señales", y una ventana crucial de inactividad lo que emitió esta factura. El coste de la gobernanza lo asumen, en última instancia, aquellos que no participaron en la gobernanza ni supieron que esta había tenido lugar.

El código se ejecutó tal como fue aprobado. La factura fue enviada a aquellos que no formaron parte de esas aprobaciones.