3.4 mil millones de dólares! Aave estuvo a punto de ser aplastado, ¿sigues confiando en la seguridad de los puentes entre cadenas?

Si tus fondos estaban en Aave, casi los pierdes ayer.

El mayor incidente de seguridad en DeFi desde 2026 ya ocurrió.

No fue un pequeño protocolo, fue el triángulo de Kelp + LayerZero + Aave.

Kelp fue acuñado de la nada, Aave podría enfrentar una pérdida de hasta 340 millones de dólares.

¿Estás nervioso?

---

La situación es así (te lo explico en 3 minutos)

Paso uno: ¿cómo lo hicieron los atacantes?

La propia Kelp publicó un análisis de causa, en palabras sencillas:

> El atacante hackeó el nodo RPC de LayerZero y aprovechó la vulnerabilidad de la “configuración predeterminada 1/1 DVN”.

¿Y qué significa eso?

LayerZero es un protocolo de transmisión de mensajes entre cadenas.

DVN (nodo de validación descentralizado) es su “control de seguridad”.

El DVN 1/1 significa que: solo hay un control de seguridad que decide.

Y ese nodo RPC fue comprometido.

El resultado fue:

El atacante puede falsificar mensajes entre cadenas, diciendo a Kelp: “Oye, alguien ha depositado ETH en otra cadena, acuña rsETH para él”.

Kelp creyó.

Se acuñaron rsETH de la nada.

Luego, estos rsETH se cruzaron de vuelta a la cadena principal, cambiados por dinero real.

No es que la técnica del hacker sea muy avanzada, sino que la configuración era muy chapucera.

Paso dos: ¿cómo arrastraron a Aave?

rsETH es un activo colateral en Aave.

El atacante depositó rsETH acuñado de la nada en Aave, y tomó prestado USDC, USDT, ETH…

Activos reales, limpios, y se los llevó.

Cuando Kelp se dio cuenta de que algo andaba mal, Aave ya tenía una gran cantidad de deuda incobrable.

---

¿Cuánto de bad debt? (los datos hablan)

- La propia Aave reveló: dos escenarios, bad debt de 123.7 millones o 230.1 millones

- El fundador de DefiLlama, 0xngmi, calculó de forma independiente: si se abandona el mercado L2, el peor caso sería 341 millones

- El fondo de reserva + seguro de Umbrella puede cubrir parte, pero aún hay un gran déficit

- Lido EarnETH: exposición de 21.6 millones, suspendieron depósitos y retiros

- Puente Ethena OFT: extensión de la suspensión

Traduzca esto:

No es un “pequeño incidente”, fue un evento que casi hace que Aave se arrodillara.

---

1. ¿Confío en los puentes entre cadenas?

No ha cambiado. Porque en realidad, no era muy alto.

No es la primera vez que un puente entre cadenas falla, y no será la última.

LayerZero siempre ha sido considerado “el protocolo de puente más confiable”, ¿y qué pasó?

Un nodo RPC fue hackeado + una configuración predeterminada 1/1 DVN = 340 millones de dólares en bad debt.

La esencia del puente entre cadenas es “transferencia de confianza”.

Das tu confianza en una cadena a unos pocos nodos, unos pocos validadores.

Mientras ellos fallen o sean hackeados, tú pierdes.

Mi postura ahora:

Para problemas que se puedan resolver en una sola cadena, nunca usaré puentes.

Si insistes en usar puentes, prepárate para empezar de cero.

---

2. ¿Confío en los protocolos de préstamo (Aave)?

No se ha colapsado, pero ahora soy más consciente.

Esta vez, Aave fue contaminada por “datos sucios”.

No fue un fallo en su código, sino que aceptó un activo atacado.

En DeFi, eso se llama “activo envenenado”.

El problema de Aave es:

Es demasiado abierto, acepta cualquier activo.

Y una vez aceptado, el riesgo se extiende desde “seguridad del protocolo” a “toda la cadena de oráculos, puentes y activos colaterales”.

Pero pensándolo bien:

El mecanismo de gestión de bad debt de Aave es transparente, el DAO discute públicamente las soluciones, y DefiLlama calcula de forma independiente el peor escenario.

Eso es mil veces mejor que CeFi.

Cuando CeFi falla, ni siquiera puedes ver los libros.

Mi conclusión:

Aave sigue siendo el protocolo de préstamo más sólido.

---

3. ¿Qué significa para los poseedores de AAVE? (punto clave)

Corto plazo: dolor. Largo plazo: quizás no sea algo malo.

- A corto plazo:

¿Cómo se cubre la deuda incobrable?

Opción uno: que algunos mercados L2 asuman la pérdida, y Aave en la cadena principal pierda 123 millones.

Opción dos: que Aave asuma la pérdida total de 230 millones.

En cualquiera de los casos, los ingresos del protocolo AAVE se usarán para cubrir la pérdida, las expectativas de dividendos bajarán, y el precio se verá presionado.

- A largo plazo:

Este incidente obligará a Aave a hacer dos cosas:

1. Establecer estándares más estrictos para listar activos — no todos los LST o LRT podrán listarse fácilmente.

2. Mejorar los mecanismos de gestión de riesgos + seguros — Umbrella acelerará su implementación.

Una frase para los poseedores:

No posees AAVE, posees la lección de riesgo más cara en DeFi.

---

No te digo que vendas Aave, ni que compres en el fondo.

Solo digo esto:

El mayor riesgo en DeFi no son los fallos en el código, sino “que pienses que es seguro”.

Esta vez fue Kelp + LayerZero + Aave.

¿Y la próxima?

Tú adivinas. #比特币反弹 $BTC $ETH