Arturo TrenardPérdida de $50 Millones en Swap de Aave: Bot MEV Gana $10M en Ataque Sándwich
Un usuario de finanzas descentralizadas (DeFi) sufrió una pérdida de aproximadamente 50 millones de dólares al ejecutar un intercambio masivo en el protocolo Aave. El 12 de marzo, intentó cambiar 50.4 millones de USDT por el token AAVE, pero solo recibió 327 AAVE (unos $36,000) debido a un deslizamiento extremo. La situación fue explotada por un bot de Valor Máximo Extraíble (MEV), que obtuvo una ganancia de $9.9 millones mediante un “ataque sándwich”. Tanto Aave como CoW DAO han anunciado la devolución de las tarifas cobradas al usuario afectado.
Análisis de la Transacción Catastrófica
La Orden de Intercambio Masiva
Una billetera, recientemente financiada desde Binance, intentó intercambiar 50.4 millones de USDT por tokens AAVE utilizando el agregador CoW Protocol, que enrutó la orden al exchange descentralizado SushiSwap. El resultado fue desastroso: el usuario recibió únicamente 327 AAVE, valorados en unos $36,000 al precio de mercado. Esto implicó un precio efectivo de aproximadamente $154,000 por cada AAVE, una cifra astronómica comparada con su precio de mercado, que rondaba los $114.
El Mecanismo del Ataque MEV “Sándwich”
La enorme pérdida se vio agravada por la acción de un bot MEV. Estos bots escanean la “mempool” de Ethereum en busca de transacciones lucrativas pendientes. Al detectar esta orden de gran tamaño, el bot ejecutó un ataque sándwich. Primero, tomó un préstamo flash de $29 millones en wETH del protocolo Morpho. Con esos fondos, compró una gran cantidad de AAVE en Bancor, inflando artificialmente su precio justo antes de que se procesara la transacción del usuario. Inmediatamente después, el bot vendió sus tokens en SushiSwap, aprovechando la diferencia y obteniendo una ganancia final de $9.9 millones.
Advertencias Ignoradas y Respuesta de los Protocolos
Alertas de Deslizamiento en la Interfaz
Stani Kulechov, fundador de Aave, confirmó que la interfaz del protocolo mostró advertencias explícitas sobre un “deslizamiento extraordinario” debido al tamaño “inusualmente grande” de la orden.
“El usuario confirmó la advertencia en su dispositivo móvil y procedió con el swap, aceptando el alto deslizamiento”,
declaró Kulechov.
Medidas de CoW DAO y Aave
CoW DAO, el organismo detrás del agregador utilizado, se pronunció afirmando que el usuario procedió “a pesar de advertencias claras” y de tener que optar explícitamente por continuar. La organización argumentó que, dada la magnitud de la operación y la liquidez disponible, “ningún proveedor de liquidez podría haber ejecutado la operación a un precio razonable”.
Como medida de respuesta, ambos protocolos anunciaron la devolución de las tarifas cobradas. CoW DAO reembolsará las tarifas del protocolo, mientras que Aave intentará devolver aproximadamente $600,000 en tarifas al usuario. CoW DAO también reflexionó sobre el incidente, señalando que “la experiencia de usuario (UX) de DeFi aún no está donde necesita estar” para proteger a todos los usuarios.
Contexto y Lecciones para el Ecosistema DeFi
El Problema Recurrente del Slippage y los MEV Bots
Este caso ejemplifica riesgos inherentes a DeFi. Los mercados de creadores automatizados (AMM) como SushiSwap utilizan fórmulas matemáticas para fijar precios, que son extremadamente sensibles a órdenes de gran tamaño cuando la liquidez es limitada, causando un deslizamiento o “slippage” severo. Los ataques sándwich son una forma de extracción de MEV, un fenómeno conocido en Ethereum donde actores con capacidad técnica extraen valor reordenando o insertando sus propias transacciones.
El Equilibrio entre Autogestión y Protección
El incidente plantea una discusión crucial sobre los límites de la autogestión en las finanzas descentralizadas. Stani Kulechov resumió el dilema:
“La conclusión clave es que DeFi debe permanecer abierto y sin permisos… pero hay barreras adicionales que la industria puede construir para proteger mejor a los usuarios”.
La pérdida de casi $50 millones subraya los riesgos extremos de ejecutar operaciones de gran volumen sin una comprensión profunda de los mecanismos de fijación de precios en DeFi. Más allá de las devoluciones, el caso señala la urgente necesidad de mejorar las interfaces para comunicar riesgos de manera más efectiva y de educar a los usuarios sobre los mecanismos que gobiernan este ecosistema.
