Arturo TrenardCaída de $8.000M en Aave: El Efecto Dominó del Hackeo de $293M a Kelp DAO Sacude el Mercado DeFi
El Valor Total Bloqueado (TVL) del protocolo de préstamos descentralizado Aave se desplomó aproximadamente $8.000 millones durante el fin de semana, tras un exploit de $293 millones a Kelp DAO. Los hackers utilizaron los tokens robados como colateral en Aave, generando cerca de $195 millones en deuda incobrable y desencadenando una crisis de liquidez que paralizó retiros en pools clave de stablecoins. El incidente subraya los riesgos de contagio en el ecosistema DeFi interconectado y marca la primera gran prueba para el modelo de seguridad “Umbrella” de Aave.
El Incidente y su Impacto Inmediato en Aave
La Caída del TVL y la Pérdida del Liderazgo
Según datos de DeFiLlama, el TVL de Aave cayó desde aproximadamente $26.400 millones a alrededor de $18.600 millones en cuestión de horas. Esta drástica reducción hizo que el protocolo perdiera su posición como el más grande del ecosistema DeFi por valor total bloqueado.
La Crisis de Liquidez en los Pools de Stablecoins
El impacto más inmediato para los usuarios se reflejó en los mercados de stablecoins. Los pools de USDT y USDC en Aave v3 alcanzaron el 100% de utilización, según la interfaz del protocolo. Esto significa que más de $5.100 millones en stablecoins están temporalmente bloqueados y no disponibles para retiro. Un dato ilustrativo de la severa escasez de liquidez es que, en el pool de USDT de Aave v3 en Ethereum, solo quedaban disponibles $2.540 de un total de $2.870 millones, como reportó la plataforma Grvt.
Cronología y Mecánica del Ataque
El Robo en Kelp DAO
El evento desencadenante ocurrió el sábado, cuando atacantes explotaron un puente de Kelp DAO basado en la tecnología LayerZero. El resultado fue el robo de 116.500 tokens rsETH, un activo vinculado al restaking de Ethereum, por un valor de $293 millones en el momento del hecho.
La Creación de Deuda Incobrable en Aave
Posteriormente, los hackers utilizaron estos tokens rsETH robados como colateral para tomar un préstamo de wETH (Wrapped Ethereum) en Aave v3. Esta maniobra creó aproximadamente $195 millones en deuda incobrable o “bad debt” dentro del protocolo Aave, como detalló la firma de análisis Lookonchain. La presión sobre el protocolo y el sentimiento negativo del mercado también provocaron una caída de aproximadamente el 20% en el precio del token nativo AAVE, que pasó de $112 a $89,5 en unas 25 horas.
Reacciones en Cadena y Respuestas del Protocolo
Retiros Masivos y Congelación de Mercados
La noticia del exploit y la deuda incobrable generó una ola de retiros. Entidades identificadas como “ballenas” realizaron movimientos significativos, incluyendo un retiro de $431 millones por parte del exchange MEXC y otro de $392 millones por Abraxas Capital, según datos de Lookonchain.
En respuesta, el equipo detrás de Aave implementó medidas de emergencia. Congeló los mercados de rsETH tanto en su versión v3 como en la recién lanzada v4. Además, congeló las reservas de wETH en múltiples redes, incluyendo Ethereum, Arbitrum, Optimism y Polygon. A través de un comunicado, Aave aclaró que los tokens rsETH en la red principal de Ethereum (mainnet) “siguen totalmente respaldados” y que el problema se limita a los tokens explotados en el puente de Kelp.
Contagio en el Ecosistema DeFi
El efecto dominó no se limitó a Aave. Otros protocolos DeFi interconectados, como Curve Finance, Ethena y el WBTC de BitGo, tomaron precauciones y pausaron temporalmente el uso del puente LayerZero afectado para prevenir riesgos similares.
Contexto y Análisis de Riesgo
La Primera Prueba del Modelo “Umbrella” de Aave
Este evento constituye la primera prueba significativa para el modelo de seguridad “Umbrella” de Aave, lanzado en junio de 2025. Este sistema está diseñado para ofrecer una capa de protección automatizada contra la acumulación de deuda incobrable dentro del protocolo.
Perspectivas sobre los Modelos de Riesgo de Aave
El incidente ocurre tras un reciente informe del Bank of Canada que había elogiado las estrategias de gestión de riesgo de Aave v3, destacando mecanismos como la sobrecolateralización y las liquidaciones automáticas. En declaraciones a Cointelegraph antes del ataque, representantes de Aave defendieron su modelo, argumentando que el mecanismo de liquidaciones es una piedra angular de su seguridad.
Contexto Organizacional Reciente
Como contexto relevante, Aave había anunciado el 6 de abril de 2026 la separación de su proveedor de servicios de análisis de riesgo, Chaos Labs. Según informaron en su momento, la decisión se debió a desacuerdos sobre la dirección del desarrollo de Aave v4 y restricciones presupuestarias.
Conclusión: Lecciones para el DeFi
El exploit a Kelp DAO y su impacto catastrófico en Aave ejemplifican con crudeza la velocidad a la que puede propagarse el riesgo en los mercados de préstamo descentralizados interconectados. El evento pone de manifiesto la tensión permanente entre la innovación financiera, como el restaking y los puentes entre cadenas, y los imperativos de seguridad y gestión de riesgo.
A pesar de contar con medidas de seguridad avanzadas como el modelo “Umbrella” y mecanismos de liquidación, el protocolo demostró ser vulnerable a un shock externo que desembocó en una severa crisis de liquidez. Este incidente probablemente impulse debates más amplios dentro de la industria sobre la gestión de riesgos transfronterizos, la definición de responsabilidades y la construcción de una resiliencia sistémica en el ecosistema DeFi.