Tras la brecha de seguridad en el puente rsETH de KelpDAO, Aave ha publicado una actualización de estado integral. El protocolo detalla el trasfondo técnico del incidente, su impacto en Aave y los escenarios de daño potenciales en el nuevo informe.
Según la declaración, los proveedores de servicios conectados al Aave DAO están evaluando actualmente escenarios potenciales de “deuda mala” que podrían surgir en el protocolo y trabajan en coordinación con los participantes del ecosistema para cerrar esta brecha.
Según el informe, el ataque ocurrió el 18 de abril de 2026 en la ruta Unichain-Ethereum rsETH de Kelp basada en LayerZero V2. El atacante supuestamente retiró 116.500 rsETH del adaptador de Ethereum utilizando un paquete de verificación falsificado, luego distribuyó estos activos a múltiples direcciones, garantizando una parte en Aave V3 y solicitando WETH y wstETH. Según los datos de Aave, el atacante utilizó un total de 89.567 rsETH como garantía en Aave, mientras solicitó aproximadamente 82.650 WETH y 821 wstETH. Una parte significativa de estas posiciones se abrieron en las redes Ethereum y Arbitrum.
Aave especificó específicamente que el incidente no se originó en sus propios contratos inteligentes. Según el protocolo, la vulnerabilidad de seguridad se debió íntegramente a la infraestructura externa a la que estaba vinculado el activo rsETH, y los contratos, el sistema de oracle y los mecanismos de liquidación de Aave funcionaron según lo diseñado durante todo el proceso. Tras la detección del incidente, las reservas de rsETH y wrsETH se congelaron en todas las distribuciones de Aave V3, la relación préstamo-valor en los mercados relevantes se redujo a cero y se detuvieron las nuevas emisiones o transacciones de préstamo. Además, se actualizó el modelo de tasa de interés de WETH en diferentes cadenas y se implementaron medidas adicionales de congelación en los mercados de WETH para evitar la propagación de nuevos préstamos.
Aave presentó dos escenarios para la compensación por los daños sufridos
El informe examinó dos escenarios principales para posibles pérdidas. En el primer escenario, si las pérdidas se distribuyeran uniformemente en toda la oferta de rsETH, la deuda morosa total en Aave podría alcanzar aproximadamente $123.7 millones. En este caso, la pérdida absoluta más grande se observaría en Ethereum Core, mientras que el impacto proporcional más fuerte ocurriría en la cadena Mantle. El segundo escenario asume que las pérdidas se reflejan únicamente en los activos rsETH en L2. En este caso, la estimación de la deuda morosa total aumenta a $230.1 millones. Según el informe, en este escenario, la mayor presión se ejercería sobre las reservas de WETH en Mantle, Arbitrum y Base.
Según los datos compartidos por Aave, la tesorería de la DAO tenía un total de $181 millones en activos al 20 de abril de 2026. De estos activos, $62 millones consistían en productos relacionados con Ethereum, $54 millones en tokens AAVE y $52 millones en stablecoins. Además, el protocolo informó haber generado $145 millones en ingresos durante 2025 y haber logrado $38 millones en ingresos y $16 millones en beneficio neto desde el inicio de 2026. Aave indicó que confía no solo en los recursos de la tesorería, sino también en los compromisos de apoyo de los representantes del ecosistema.
Noticias relacionadas: Alegaciones de manipulación importante en una altcoin - Crypto Detective ZachXBT se expresa
Otro punto destacado en el informe fue la escasez de liquidez en los mercados de WETH. Se indicó que las reservas de WETH en Ethereum, Arbitrum, Base, Linea y Mantle actualmente han alcanzado una utilización del 100%. Esto dificulta que los proveedores de liquidez accedan a WETH libre durante los procesos de liquidación, aumentando la presión sobre el sistema. Aave señaló que, aunque el sistema generalmente continúa funcionando, decisiones externas, particularmente sobre cómo se distribuirán las pérdidas de rsETH, determinarán el resultado final.
¿Qué esperar del mecanismo Umbrella?
En el informe publicado por Aave, el “Umbrella” (también conocido como el módulo de seguridad/seguro) destaca como uno de los temas críticos en el contexto de la crisis de rsETH. Este mecanismo funciona como una capa de seguridad destinada a proteger ciertas reservas al activarse en casos de “deuda mala” que puedan ocurrir en el protocolo.
Según los detalles compartidos por Aave, el módulo Umbrella actúa como un buffer, específicamente para las reservas de WETH en el mainnet de Ethereum (Core). Normalmente, este módulo opera a través de una piscina creada mediante el staking de ciertos activos, y cuando el protocolo sufre pérdidas, los activos en esta piscina pueden utilizarse para cubrir parte del déficit mediante “slashing” (deducción).
Sin embargo, en el contexto de la actual crisis de rsETH, Aave ha hecho una sugerencia notable respecto al módulo Umbrella: suspenderlo temporalmente. La razón principal detrás de esto es evitar que el módulo se active prematuramente y sin control en un escenario de peor caso potencial (especialmente si las pérdidas se extienden por todo el sistema), impidiendo así la rápida agotamiento de los activos apostados.
Según el informe, una parte significativa de los aproximadamente 23,500 WETH actualmente apostados bajo Umbrella se encuentra en la fase de “retirada pendiente”. Esto indica que los inversores se están preparando para retirar sus fondos, lo que plantea un riesgo potencial de corrida bancaria.
Por otro lado, se indica que en el segundo escenario (donde las pérdidas se limitan únicamente a rsETH en redes L2), el módulo Umbrella puede no necesitar activarse. Esto se debe a que este módulo solo cubre reservas en el ethereum mainnet, y las pérdidas provenientes de redes L2 están fuera del alcance de este mecanismo de seguridad.
En conclusión, aunque Umbrella se considera una “última línea de defensa” importante a la que Aave puede recurrir en tiempos de crisis, en la situación actual, mantenerla en espera de manera controlada se considera una estrategia más segura que implementarla directamente.
*Esto no es un consejo de inversión.
Continuar leyendo: Aave publica un informe detallado sobre el hack de KelpDAO: ¿Cómo se cubrirán las pérdidas? ¿Está Aave en riesgo?