¡Aave en serios aprietos! Podría perder hasta 230 millones tras el desastre del puente Kelp DAO que sacudió DeFi

Aave acaba de soltar un reporte que habla de dos escenarios bien bravos: podría perderse cerca de 123 millones de dólares si se reparte la bronca entre todos los que tienen rsETH, o hasta 230 millones si el problema se queda solo en las Layer 2. Todo depende de cómo le entre Kelp DAO para ajustar lo que falta.

El fin de semana pasado, el Kelp DAO y el puente LayerZero se llevaron un buen golpe con un hackeo que dejó a Aave con posibles pérdidas de hasta 230 millones de dólares, según un reporte de Aave Labs y LlamaRisk que sacaron en el foro de gobierno de Aave.

La bronca está con el rsETH, un token que se puede usar en varios blockchains, creado por KelpDAO. Para moverlo entre redes, usan un puente que bloquea los tokens en una cadena y crea copias en otra. Pero un hacker se metió al sistema y mandó un mensaje de transferencia falso que parecía legit. El sistema falló y aprobó la transferencia sin que los tokens realmente salieran de la cadena original. Así se crearon 116,500 rsETH de la nada.

El hacker no se fue a vender los tokens, sino que metió 89,567 rsETH como garantía en Aave y pidió préstamos por unos 190 millones de dólares en ETH y cosas similares en Ethereum y Arbitrum. O sea, dejó a Aave con un aval que podría valer mucho menos de lo que debería.

Aave se puso las pilas rápido y congeló los mercados de rsETH, bajó los préstamos a cero y detuvo nuevos créditos con ese token horas después.

Ahora todo depende de lo que haga Kelp con el hoyo. Si la pérdida se reparte entre todos los que tienen rsETH, el token bajaría como un 15% su valor real, y Aave tendría una deuda mala de unos 124 millones. Pero si el problema solo afecta a las Layer 2, la pérdida sería mucho más dura, con una deuda de hasta 230 millones, pegándole fuerte a redes como Arbitrum y Mantle.

Todo esto pasó porque Kelp falló al revisar los mensajes que cruzan entre cadenas con LayerZero. El hacker manipuló el sistema para hacer creer que los tokens estaban respaldados cuando no era cierto y así sacó lana. LayerZero no fue hackeado directamente, pero su sistema de mensajes dejó al descubierto que la forma en que Kelp validaba la info entre cadenas estaba bien floja.

Esto puso en alerta porque algunos préstamos en Aave podían estar respaldados con garantías mal valuadas o sin respaldo real, aumentando el riesgo de que no se pudieran cubrir.

La gente empezó a salir corriendo: se retiraron como 6 mil millones de dólares de Aave después del hackeo, mostrando que la banda andaba nerviosa por la inseguridad en el mundo DeFi.

La crisis enseñó que Aave está algo vulnerable por su conexión con otros sistemas. Hubo presión en las garantías, riesgo en los préstamos y una caída fuerte en depósitos mientras todos checaban qué tan seguro estaba su dinero.

En el reporte también dicen que el tesoro del DAO tiene unos 181 millones de dólares y ya están platicando con los interesados para ver cómo arreglan el problema. Pero Kelp aún no dice cómo va a repartir las pérdidas, así que todavía no se sabe con exactitud cuánto va a perder Aave mientras esto sigue en proceso.