Aave revisa los estándares de cotización después de que un exploit de rsETH de 230 millones de dólares expusiera riesgos de puente
El ataque DeFi más caro de 2026 comenzó con el puente de éter renovado (rsETH) de KelpDAO, no con un error en el código de Aave. Eso, argumenta el protocolo de préstamos en una autopsia oficial publicada esta semana, es precisamente la razón por la que la industria necesita repensar cómo mide el riesgo.
Aave dijo que está lanzando una revisión de todos los activos listados en V3 y reescribiendo sus estándares de listado después de que el exploit ETH recomprado por $230 en abril expusiera una nueva clase de riesgo DeFi.
La autopsia del protocolo rastreó el ataque no a una falla en los contratos inteligentes de Aave sino a una falla de verificación del puente LayerZero, donde un solo verificador aprobó un mensaje falsificado entre cadenas que liberó 116,500 rsETH sin respaldo.
En el futuro, Aave dice que las evaluaciones de garantías sopesarán los puentes, las dependencias de Oracle, los custodios y la seguridad operativa junto con los riesgos financieros y de contratos inteligentes que tradicionalmente ha evaluado.
KelpDAO es un servicio de "restauración", que permite a los usuarios tomar su éter que ya está bloqueado en Ethereum para ganar recompensas de apuesta y reutilizarlo como garantía para obtener rendimiento adicional de otros protocolos. El token rsETH representa el reclamo de un usuario sobre ese éter renovado. Para mover rsETH entre cadenas de bloques, KelpDAO utiliza LayerZero, una pieza de infraestructura llamada puente entre cadenas que pasa mensajes entre redes para que un token emitido en una cadena pueda aparecer en otra.
Los puentes se basan en un conjunto de verificadores independientes que confirman que cada mensaje es real antes de que la cadena receptora libere los tokens equivalentes.
En el ataque de abril, solo uno de esos verificadores aprobó un mensaje falso, que permitió al atacante acuñar 116,500 rsETH en la cadena receptora sin ningún ether real que lo respaldara.
Luego, esos tokens se depositaron en Aave, un protocolo de préstamos en el que los usuarios piden prestado contra la garantía que publican, y se utilizaron para obtener préstamos que Aave no pudo recuperar una vez que se reveló que el rsETH no tenía valor. El propio código de Aave funcionó exactamente como se diseñó. La garantía que aceptó resultó ser falsa porque el puente que la entregaba estaba comprometido.
Si bien LayerZero reconoció a principios de este mes que "cometió un error" al permitir que su propio sistema de verificación asegurara activos de alto valor en una configuración uno a uno, la autopsia de Aave va más allá al utilizar el incidente para justificar una revisión más amplia de la gestión de riesgos de DeFi.
El protocolo sostiene que las revisiones tradicionales centradas en la volatilidad, la liquidez y las auditorías de contratos inteligentes no lograron capturar los riesgos creados por puentes, redes de verificación y otras infraestructuras que se encuentran fuera del código de la aplicación.
Más allá de las auditorías de contratos inteligentes y el análisis de riesgos financieros, Aave dijo que ahora evaluará la infraestructura de puentes, las dependencias de Oracle, los contratos de terceros, los acuerdos de custodia, las prácticas de seguridad operativa y la liquidez del mercado secundario antes de aprobar o ampliar las listas de garantías.
El protocolo también está construyendo nuevas defensas automatizadas diseñadas para reaccionar más rápido cuando los activos colaterales muestran signos de problemas. Entre las propuestas esbozadas en la autopsia se encuentra un sistema que reduciría automáticamente la relación préstamo-valor de un activo a cero una vez que se superen los umbrales de riesgo predefinidos, eliminando su poder de endeudamiento antes de que las pérdidas puedan extenderse por el mercado en general.
Desde el exploit, Aave dice que sus administradores de riesgos ya han ejecutado aproximadamente 295 cambios de parámetros en los mercados V3, incluidas 168 reducciones del límite de oferta y 66 reducciones del límite de endeudamiento destinadas a limitar la exposición a activos individuales.
A medida que los protocolos DeFi se vuelven más interconectados, la autopsia de Aave sugiere que la industria puede necesitar examinar no solo los activos que enumera, sino también la infraestructura de la que dependen esos activos.