El jefe de Aave pone el escudo: ¿Cómo sobrevivió el protocolo a una fuga masiva de 8.45 mil millones?

La onda de las finanzas descentralizadas, o DeFi, está intentando recuperarse después de una serie de hackeos bien sofisticados que han puesto a todos a preguntar si las blockchains públicas pueden realmente manejar broncas a nivel sistema completo.

El escándalo más fuerte fue en abril de 2026, cuando explotaron $292 millones en el puente de KelpDAO, que funciona con LayerZero. Eso causó que en solo dos días la gente sacara como loco $8.45 mil millones de Aave, la plataforma de préstamos descentralizados más chida del mundo. ¡Imagínate, en menos de 48 horas se desató la corrida de depósitos!

Stani Kulechov, el mero mero de Aave, salió a defender la jerga matemática de su plataforma en un evento en París llamado Proof of Talk. En vez de admitir que casi se meten en un desmadre por la falta de liquidez, dijo que toda esa fuga de lana en realidad demuestra lo “resistente” que es la red.

“Aave V3 ya pasó por varios ciclos bien locos,” dijo Stani. “Ha sido muy resistente en tiempos bien turbios.”

Pero si te pones a investigar, resulta que lo que salvó a Aave no fue tanto que todo funcionara perfecto, sino más bien un rescate de emergencia caótico y con gente metiendo dinero fuerte. Pa’ que no se fuera todo al carajo, la comunidad aportó 25,000 ETH, y Stani puso de su bolsa personal otros 5,000 ETH, es decir, unos 8.4 millones de dólares para tapar el hoyo.

Echándole la culpa a otro lado

Stani separó el código principal de Aave de los problemas con la infraestructura externa que falló, diciendo que “los contratos inteligentes de DeFi casi no tienen broncas.” Él asegura que el rollo viene de dependencias de terceros, cosas más tradicionales de seguridad que afectaron al ecosistema.

La neta, el hackeo empezó con un ataque de esos bien techies llamado RPC-spoofing y DDoS contra los nodos de LayerZero en KelpDAO, no fue un bug en Aave. Pero los expertos en riesgos piensan que Stani está evadiendo la realidad más dura.

La firma LlamaRisk descubrió que los hackers usaron el exploit para crear colateral falso, meterlo en Aave, y sacar Ether envuelto de verdad (wETH), dejando Aave con una deuda maldita de más de $123 millones. Y los analistas del Bank Policy Institute señalaron que la falta de un buen seguro mostró que estas plataformas pueden caer en una corrida bancaria, perjudicando a los usuarios.

El plan para la V4

Stani admitió que para evitar que otra broncota como esta pase, Aave tendrá que cambiar todo su pedo arquitectónico. En su próxima actualización, la versión V4, prometen darle un giro completo al manejo de riesgos.

El nuevo sistema va a usar un método modular llamado “hub-and-spoke” que ya no hará las mezclas tradicionales de tokens. Así, Aave podrá poner primas de riesgo específicas y congelar ciertos colaterales antes de que el caos llegue a la reserva principal.

“Cuando tienes un sistema completamente público y auditado, cualquiera puede checar el código y hacer su propio análisis de riesgos. Eso es clave para hacer software resistente,” concluyó Stani.

Ahora solo falta ver si los inversionistas van a seguir pasando por alto estos mega “exámenes de estrés” mientras esperan que salga la V4, y de eso depende si el DeFi se mete de lleno al mainstream o no.