El gigante de DeFi, Aave, se tambalea por la enorme caída de $ 6 mil millones en el valor total bloqueado después de que el exploit Kelp dejara al descubierto vulnerabilidades ocultas.

Aave acaba de ver salir por la puerta 6.600 millones de dólares, y no es porque alguien haya pirateado Aave.

El valor total bloqueado del protocolo cayó de 26.400 millones de dólares el 18 de abril a casi 20.000 millones de dólares en las horas de la mañana de Estados Unidos el domingo, según DefiLlama. El token $AAVE cayó un 16% a $92, y las tarifas diarias se dispararon a $1,99 millones a medida que las liquidaciones se extendieron durante el fin de semana.

Los depositantes están huyendo porque Aave tiene un agujero que no creó. Cuando los atacantes drenaron 116,500 rsETH del puente de Kelp el sábado, arrojaron los tokens robados en Aave V3 como garantía y tomaron prestado ether envuelto contra ellos.

Los rastreadores en cadena sitúan el préstamo específico de Aave en aproximadamente 196 millones de dólares, con posiciones totales en Aave, Compound y Euler en alrededor de 236 millones de dólares.

Aave es el protocolo de préstamos más grande en DeFi, donde los usuarios depositan criptomonedas para obtener rendimiento y otros usuarios toman prestado contra garantía. Kelp es un protocolo de recuperación líquida, que toma éter que ya se ha apostado en Ethereum y lo enruta a través de un sistema de generación de rendimiento separado llamado EigenLayer, emitiendo a cambio un token de recibo llamado rsETH.

Ese rsETH es lo que los usuarios intercambian y, fundamentalmente, lo que algunos usuarios publicaron en Aave como garantía para pedir prestado.

El sábado, los atacantes engañaron al puente entre cadenas de Kelp para que liberara 116.500 rsETH, con un valor aproximado de 292 millones de dólares, en una dirección que controlaban. Luego depositaron ese rsETH robado en Aave V3 como garantía y tomaron prestado éter envuelto como garantía.

Un puente es una toma basada en blockchain que transfiere tokens entre diferentes redes, donde es posible que no sean compatibles originalmente.

Aave dijo primero que la reserva Umbrella cubriría cualquier déficit. El sábado por la tarde el lenguaje se había suavizado para "explorar caminos para compensar el déficit". No es así como habla un protocolo cuando sabe cuánto debe y tiene dinero para pagarlo.

La concentración explica por qué el daño llega aquí. La cartera de préstamos de Aave abarca 22 cadenas, pero solo Ethereum tiene 14.240 millones de dólares de los 17.820 millones de dólares en préstamos pendientes. WETH representa el 39,49% de todos los préstamos en el protocolo, lo que significa que el ataque afectó exactamente al par de garantía-WETH que domina el libro de Aave.

Stani Kulechov, fundador de Aave, dijo que el exploit era externo y que los contratos del protocolo no se vieron comprometidos. Pero Aave aceptó un token líquido de recuperación como garantía, y el respaldo de ese token desapareció en un puente que Aave no controla. Los depositantes pierden en cualquier caso.

Los tokens de recuperación líquida se incluyeron en la lista blanca de todos los protocolos de préstamos importantes porque generaban rendimiento y representaban una parte cada vez mayor del valor bloqueado de Ethereum.

Los modelos de riesgo los valoraron como si mantuvieran una paridad en condiciones normales. Sin embargo, ninguno de ellos valoró un escenario en el que la garantía llegue a cero porque un puente en una cadena que Aave no toca fue explotado un sábado.

"$AAVE es la columna vertebral de DeFi, tiene miles de millones allí, y prácticamente cada nueva infraestructura DeFi en nuevas cadenas es una bifurcación de ella", escribió el comerciante Altcoin Sherpa en X. "Cuando $AAVE tiene riesgo de contagio, muestra la fragilidad de todo el sistema".

Lo que el precio del token está tratando de responder ahora es si Umbrella es lo suficientemente grande como para cubrir el agujero y si los titulares de stkAAVE que respaldan esa reserva están a punto de asumir la pérdida.