Compartir este artículo
Aave revisa los estándares de listado tras la explotación de $230 millones en rsETH que expuso riesgos en el puente
Un informe oficial postmortem atribuyó la explotación a una falla en la verificación del puente LayerZero y esbozó una revisión completa de los estándares de listado de activos de Aave, ante el cambio de riesgos en DeFi más allá de los errores en los contratos inteligentes.
Lo que debes saber:
- Aave declaró que la explotación récord de 2026 rsETH se debió a una falla en el puente impulsado por LayerZero de KelpDAO, y no a un error en los contratos inteligentes propios de Aave, lo que motivó una revisión exhaustiva de todos los activos y estándares de listado de la versión V3.
- En su análisis póstumo, Aave detalló cómo los atacantes abusaron de un único verificador de LayerZero para falsificar un mensaje entre cadenas y acuñar 116,500 rsETH no respaldados en Ethereum, exponiendo riesgos ocultos en los puentes y otra infraestructura fuera de cadena.
- Aave planea renovar su marco de gestión de riesgos para examinar puentes, oráculos, custodios y la seguridad operativa, añadir defensas automatizadas que puedan retirar instantáneamente el poder de endeudamiento del colateral, y ya ha realizado cientos de cambios en los parámetros para limitar la exposición.
El más caro Ataque DeFi de 2026 comenzó con el puente de ether restacado (rsETH) de KelpDAO, no con un error en el código de Aave. Eso, argumenta el protocolo de préstamo en un informe oficial póstumo publicado esta semana, es precisamente por eso que la industria necesita replantear cómo mide el riesgo.
Aave anunció que está lanzando una revisión de todos los activos listados en V3 y reescribiendo sus estándares de listado después de que la explotación de $230 ETH restaked en abril expusiera una nueva clase de riesgo en DeFi.
El análisis postmortem del protocolo atribuyó el ataque no a una falla en los contratos inteligentes de Aave, sino a una falla en la verificación del puente LayerZero, donde un único verificador aprobó un mensaje entre cadenas falsificado que liberó 116,500 rsETH sin respaldo.
De ahora en adelante, Aave indica que las evaluaciones de colaterales considerarán los puentes, las dependencias de oráculos, los custodios y la seguridad operativa, junto con los riesgos financieros y de contratos inteligentes que tradicionalmente ha evaluado.
KelpDAO es un servicio de "restaking", que permite a los usuarios tomar su ether que ya está bloqueado en Ethereum para ganar recompensas de staking y reutilizarlo como garantía para obtener rendimientos adicionales de otros protocolos. El token rsETH representa el derecho de un usuario sobre ese ether restakeado. Para transferir rsETH entre cadenas de bloques, KelpDAO utiliza LayerZero, una infraestructura llamada puente cross-chain que transmite mensajes entre redes para que un token emitido en una cadena pueda aparecer en otra.
Los puentes dependen de un conjunto de verificadores independientes que confirman que cada mensaje es real antes de que la cadena receptora libere los tokens equivalentes.
En el ataque de abril, solo uno de esos verificadores aprobó un mensaje falso, lo que permitió al atacante acuñar 116,500 rsETH en la cadena receptora sin respaldo real de ether.
Esos tokens fueron luego depositados en Aave, un protocolo de préstamos donde los usuarios piden dinero prestado contra el colateral que aportan, y se usaron para obtener préstamos que Aave no pudo recuperar una vez que el rsETH se reveló como sin valor. El propio código de Aave funcionó exactamente como estaba diseñado. El colateral que aceptó resultó ser falso porque el puente que lo entregó había sido comprometido.
Mientras que LayerZero reconoció a principios de este mes que "cometió un error" al permitir que su propio sistema de verificación asegure activos de alto valor en una configuración única, el análisis póstumo de Aave va más allá al utilizar el incidente para justificar una revisión más amplia de la gestión de riesgos en DeFi.
El protocolo sostiene que las revisiones tradicionales centradas en la volatilidad, la liquidez y las auditorías de contratos inteligentes no lograron captar los riesgos generados por los puentes, las redes de verificación y otra infraestructura que se encuentra fuera del código de la aplicación.
Más allá de las auditorías de contratos inteligentes y el análisis de riesgos financieros, Aave declaró que ahora evaluará la infraestructura de puentes, las dependencias de oráculos, los contratos de terceros, los acuerdos de custodia, las prácticas de seguridad operativa y la liquidez del mercado secundario antes de aprobar o ampliar las listas de garantías.
El protocolo también está desarrollando nuevas defensas automatizadas diseñadas para reaccionar más rápidamente cuando los activos colaterales muestran señales de estrés. Entre las propuestas descritas en el análisis postmortem se encuentra un sistema que reduciría automáticamente la relación préstamo-valor de un activo a cero una vez que se superen los umbrales de riesgo predefinidos, eliminando su poder de préstamo antes de que las pérdidas puedan propagarse por el mercado en general.
Desde el exploit, Aave informa que sus gestores de riesgo ya han ejecutado aproximadamente 295 cambios de parámetros en los mercados V3, incluyendo 168 reducciones en el límite de suministro y 66 reducciones en el límite de préstamo, con el objetivo de limitar la exposición a activos individuales.
A medida que los protocolos DeFi se vuelven más interconectados, el análisis postmortem de Aave sugiere que la industria podría necesitar examinar no solo los activos que lista, sino también la infraestructura de la que dependen dichos activos
More For You
Su vistazo a lo que viene en la semana que comienza el 1 de junio.
What to know:
Crypto Week Ahead es una lista integral de lo que se avecina en el mundo de las criptomonedas y la cadena de bloques, así como de los principales eventos macroeconómicos que influirán en los mercados de activos digitales.
Historias Destacadas
