Tras la brecha de seguridad en el puente rsETH de KelpDAO, Aave ha publicado una actualización exhaustiva sobre el estado del incidente. El protocolo detalla los antecedentes técnicos del suceso, su impacto en Aave y los posibles escenarios de daños en el informe recién publicado.
Según el comunicado, los proveedores de servicios conectados a la DAO de Aave están evaluando actualmente posibles escenarios de “deudas incobrables” que puedan surgir en el protocolo y están trabajando en coordinación con los participantes del ecosistema para subsanar esta deficiencia.
Según el informe, el ataque tuvo lugar el 18 de abril de 2026 en la ruta Unichain-Ethereum rsETH de Kelp, basada en LayerZero V2. El atacante supuestamente retiró 116.500 rsETH del adaptador Ethereum mediante un paquete de verificación falsificado, y luego distribuyó estos activos a múltiples direcciones, utilizando Aave V3 como garantía y tomando prestados WETH y wstETH. Según los datos de Aave, el atacante utilizó un total de 89.567 rsETH como garantía en Aave, mientras que tomó prestados aproximadamente 82.650 WETH y 821 wstETH. Una parte significativa de estas posiciones se abrieron en las redes Ethereum y Arbitrum.
Aave declaró específicamente que el incidente no se originó en sus propios contratos inteligentes. Según el protocolo, la vulnerabilidad de seguridad provino enteramente de la infraestructura externa a la que estaba vinculado el activo rsETH, y los contratos, el sistema de oráculos y los mecanismos de liquidación de Aave operaron según lo previsto durante todo el proceso. Tras la detección del incidente, las reservas de rsETH y wrsETH se congelaron en todas las distribuciones de Aave V3, la relación préstamo-valor en los mercados relevantes se redujo a cero y se detuvieron las nuevas transacciones de emisión o préstamo. Además, se actualizó el modelo de tasa de interés de WETH en las diferentes cadenas y se implementaron medidas de congelación adicionales en los mercados de WETH para evitar la propagación de nuevos préstamos.
Aave presentó dos escenarios para la indemnización por los daños sufridos.
El informe analizó dos escenarios principales para las pérdidas potenciales. En el primer escenario, si las pérdidas se distribuyeran uniformemente entre todo el suministro de rsETH, la deuda incobrable total en Aave podría alcanzar aproximadamente los 123,7 millones de dólares. En este caso, la mayor pérdida absoluta se observaría en Ethereum Core, mientras que el mayor impacto proporcional se produciría en la cadena Mantle. El segundo escenario supone que las pérdidas se reflejan únicamente en los activos de rsETH en L2. En este caso, la estimación total de la deuda incobrable asciende a 230,1 millones de dólares. Según el informe, en este escenario, la mayor presión recaería sobre las reservas de WETH en Mantle, Arbitrum y Base.
Según datos compartidos por Aave, la tesorería de la DAO contaba con un total de 181 millones de dólares en activos al 20 de abril de 2026. De estos activos, 62 millones correspondían a productos relacionados con Ethereum, 54 millones a tokens AAVE y 52 millones a stablecoins. Además, el protocolo informó haber generado 145 millones de dólares en ingresos a lo largo de 2025, y haber alcanzado 38 millones de dólares en ingresos y 16 millones de dólares en ganancias netas desde principios de 2026. Aave afirmó que no solo depende de los recursos de su tesorería, sino también del apoyo de los representantes del ecosistema.
Otro punto destacable del informe fue la escasez de liquidez en los mercados de WETH. Se indicó que las reservas de WETH en Ethereum, Arbitrum, Base, Linea y Mantle han alcanzado el 100 % de utilización. Esto dificulta que los proveedores de liquidez accedan a WETH libre durante los procesos de liquidación, lo que aumenta la presión sobre el sistema. Aave afirmó que, si bien el sistema generalmente continúa funcionando, las decisiones externas, en particular sobre cómo se distribuirán las pérdidas de rsETH, determinarán el resultado final.
¿Qué cabe esperar del Mecanismo Paraguas?
En el informe publicado por Aave, el “Paraguas” (también conocido como módulo de seguridad/seguro) se destaca como uno de los temas críticos en el contexto de la crisis de rsETH. Este mecanismo funciona como una capa de seguridad destinada a proteger ciertas reservas, activándose en casos de “deuda incobrable” que puedan ocurrir en el protocolo.
Según la información compartida por Aave, el módulo Umbrella actúa como un búfer, específicamente para las reservas de WETH en la red principal de Ethereum (Core). Normalmente, este módulo opera a través de un fondo común creado mediante el staking de ciertos activos, y cuando el protocolo sufre pérdidas, los activos de este fondo pueden utilizarse para cubrir parte del déficit mediante la reducción de activos (o “slashing”).
Sin embargo, en el contexto de la actual crisis de rsETH, Aave ha hecho una sugerencia importante con respecto al módulo Umbrella: suspenderlo temporalmente. El principal motivo es evitar que el módulo se active de forma prematura e incontrolada en un posible escenario catastrófico (especialmente si las pérdidas se extienden por todo el sistema), previniendo así el rápido agotamiento de los activos apostados.
Según el informe, una parte significativa de los aproximadamente 23.500 WETH actualmente depositados en Umbrella se encuentra en la fase de “desbloqueo pendiente”. Esto indica que los inversores se están preparando para retirar sus fondos, lo que aumenta el riesgo potencial de una corrida bancaria.
Por otro lado, se afirma que en el segundo escenario (donde las pérdidas se limitan únicamente a rsETH en redes L2), es posible que no sea necesario activar el módulo Umbrella. Esto se debe a que dicho módulo solo cubre las reservas en la red principal de Ethereum, y las pérdidas en redes L2 quedan fuera del alcance de este mecanismo de seguridad.
En conclusión, si bien Umbrella se considera una importante “última línea de defensa” a la que Aave puede recurrir en tiempos de crisis, en la situación actual, mantenerla en estado de alerta de manera controlada se considera una estrategia más segura que desplegarla directamente.
*Esto no constituye asesoramiento de inversión.
