El panorama de DeFi se vio sacudido por un desliz en una transacción falsa en la plataforma de apuesta líquida Ethereum de Aave el mes pasado

Un exploit devastador el 18 de abril de 2026 descubrió una debilidad evidente en la infraestructura del puente que une los mercados de Aave, específicamente el puente Kelp rsETH LayerZero V2 que conecta Unichain con Ethereum. Al falsificar un mensaje entre cadenas, un atacante pudo liberar una cantidad sustancial de 116,500 rsETH en el ecosistema Ethereum sin la correspondiente quema en Unichain, y posteriormente utilizó estos tokens como garantía para obtener préstamos en múltiples posiciones de Aave V3. Afortunadamente, se produjo un esfuerzo de recuperación rápido y coordinado que, en última instancia, restauró los mercados a su estado normal y garantizó un respaldo total.

La raíz del problema radica en la arquitectura del puente, que dependía en gran medida de un único verificador para autenticar todos los mensajes entrantes entre cadenas, creando esencialmente un único punto de falla. Esta configuración, conocida como Red de Verificadores Descentralizados uno a uno, resultó vulnerable a la manipulación externa cuando el verificador fue blanco de un ataque de envenenamiento de RPC, lo que permitió al atacante distorsionar su visión del estado de la cadena de origen. A las 17:35 UTC del 18 de abril, el punto final de Ethereum aceptó un mensaje entrante con el nonce 308, liberando los 116,500 rsETH antes mencionados, mientras que el punto final de Unichain continuó mostrando solo el nonce 307 saliente, lo que indica que no se había producido ninguna quemadura en la cadena de origen.

El éxito del exploit no se debió a una falla en el código de contrato inteligente de Aave sino más bien a la dependencia del puente de un único verificador y su susceptibilidad a la manipulación externa, una vulnerabilidad que existía fuera del protocolo de Aave. Tras el lanzamiento de los tokens rsETH, el atacante los dispersó rápidamente en siete direcciones de destinatarios, con 89,567 rsETH desplegados como garantía en ocho posiciones de Aave V3 en Ethereum Core y Arbitrum, asegurando préstamos por un total de 82,650 WETH y 821 wstETH. El atacante mantuvo cuidadosamente los factores de salud entre 1,01 y 1,03, evitando por poco la liquidación automática.

La exposición de Aave al exploit surgió de su inclusión de rsETH como garantía bajo términos estándar de sobrecolateralización, creando una dependencia directa de la infraestructura de verificación del puente, que está fuera del control de Aave. En respuesta, Aave Protocol Guardian entró en acción, congelando rsETH y wrsETH en Aave V3 y estableciendo la relación préstamo-valor (LTV) en cero a las 19:00 UTC del 18 de abril. Además, Kelp Spoke en Aave V4 se congeló por completo y los préstamos WETH se desactivaron inmediatamente.

A medida que avanzaban los esfuerzos de respuesta, Kelp detuvo con éxito 43,373 rsETH conectados al exploit entre las 18:00 y las 19:00 UTC, lo que limitó daños mayores. Durante los dos días siguientes, se implementaron medidas de protección adicionales, incluida la congelación de WETH en múltiples implementaciones, como Ethereum Core, Ethereum Prime, Arbitrum, Base, Mantle y Linea el 20 de abril. El Consejo de Seguridad de Arbitrum congeló aún más 30,766 ETH vinculados al atacante el 21 de abril. Para el 23 de abril, las reservas de rsETH se habían pausado por completo en múltiples implementaciones, lo que permitió la posible liquidación de las posiciones del atacante y la recuperación de activos para los usuarios afectados, con lo que mitigar el impacto del exploit.