Aave revoluciona sus reglas tras millonario hackeo de $230 millones que dejó al descubierto los peligros del puente rsETH

Pues aquí les va la bronca más grande del mundo DeFi en 2026, y no fue por un bug en Aave, sino porque el puente de KelpDAO que maneja el ether restakeado (rsETH) se hizo bolas. Aave, que es como el banco chido para prestar y pedir prestado con cripto, acaba de soltar un análisis bien completo sobre cómo se les coló un robo de casi 300 millones de dólares por un rollo en la verificación del puente LayerZero.

Resulta que KelpDAO permite que la raza use su ether que ya estaba apostado para ganar más lana y luego lo deja como garantía para sacar aún más ganancias en otros lados. El broncón es que para mover ese rsETH entre blockchains usan un puente llamado LayerZero, que funciona como mensajero: su trabajo es revisar que los mensajes sean reales para que los tokens se puedan transferir de un lado a otro.

En este caso, uno solo de los encargados de verificar el mensaje se dejó chiflar el trombón y aprobó un mensaje falso. Esto permitió que el atacante hiciera un chorro de rsETH que no tenían respaldo real y lo metieran a Aave. Como Aave confía en que ese rsETH es garantía, le prestaron lana apoyándose en esos tokens que no valían un peso. Resultado: quieren su dinero y no hay nada que recuperar porque la garantía era falsa.

LayerZero ya le entró a decir “mea culpa” porque le confiaron toda la verificación a un solo elemento, pero Aave aprovechó para decir que ya hay que cambiar el chip en cómo manejar el riesgo en DeFi. Antes solo veían cosas como volatilidad, liquidez y auditorías de contratos, pero ahora se van a fijar también en todo lo que está fuera del contrato: los puentes, los oráculos, los custodios y todo lo que ayude a que el sistema sea seguro.

Además, se están armando para que cuando un activo empiece a mostrar signos de que se está poniendo chueco, su sistema automático baje de volada el valor para préstamos y evite que el daño se regue. A la fecha, Aave ya hizo casi 300 cambios en sus controles para que la bronca no se repita.

El chiste, banda, es que mientras más se conectan estas plataformas entre sí, más peligroso puede ser el rollo si no se cuida la infraestructura que hay detrás, no nada más el token o contrato nomás. O sea, hay que tener ojo abierto y no clavarla como antes. ¡Esto apenas empieza!