El puente Kelp se vio afectado por la ola de hackeos; Aave, el TVL cae en picado y aparecen 196 millones en préstamos incobrables

Otocoloko de rehipotecación de liquidez Kelp bridge cross-chain foi atacado el sábado. El atacante robó 116.500 rsETH (aproximadamente 292 millones de dólares) y depositó los tokens robados en Aave V3 como colateral para emitir préstamos masivos de ether envuelto (WETH). Aunque no se vieron afectados los contratos del protocolo Aave, este ataque generó en el libro contable alrededor de 196 millones de dólares en cuentas incobrables, y el TVL de la plataforma se desplomó hasta aproximadamente 20.000 millones de dólares.

Ruta del ataque: cómo la vulnerabilidad del puente de Kelp desencadenó indirectamente las cuentas incobrables de Aave

El punto de entrada del ataque no era Aave en sí, sino el puente cross-chain de Kelp. El sábado, el atacante engañó al puente de Kelp para que liberara 116.500 rsETH a una dirección bajo su control. rsETH es el token de comprobante de rehipotecación de liquidez de Kelp, que representa las ganancias del ether apostado enrutado a través de EigenLayer.

El atacante luego depositó el rsETH robado en Aave V3 como colateral y pidió prestado WETH. Como el activo subyacente ya había desaparecido en la capa de puente a la que Aave no podía acceder, estas posiciones de préstamo se convirtieron efectivamente en cuentas incobrables que no se podían recuperar. Los datos on-chain muestran que las cuentas incobrables de Aave ascienden a aproximadamente 196 millones de dólares; las posiciones abiertas totales de Aave, Compound y Euler son aproximadamente 236 millones de dólares.

Razón de la concentración de cuentas incobrables: el par rsETH/WETH domina el libro contable de Aave

El libro de préstamos de Aave abarca 22 cadenas, pero la cadena principal de Ethereum tiene 14.24 mil millones de dólares de los 17.82 mil millones de dólares de préstamos pendientes, y WETH representa aún más el 39,49% de todos los préstamos de Aave. El ataque impactó exactamente el par de préstamo con colateral rsETH/WETH de mayor tamaño en el libro contable de Aave, lo que explica por qué las cuentas incobrables estuvieron altamente concentradas y no se distribuyeron por toda la plataforma.

El fundador de Aave, Stani Kulechov, confirmó que fue un ataque externo y que los contratos del protocolo no sufrieron daños. Pero Aave aceptó rsETH como colateral, y la seguridad de sus activos subyacentes dependía del puente cross-chain que está fuera del alcance de control de Aave; en última instancia, en cualquier caso, el riesgo de pérdida recae sobre los depositantes.

Incertidumbre del mecanismo de reservas de Umbrella: riesgo potencial para los tenedores de stkAAVE

Aave inicialmente indicó que la reserva de Umbrella compensaría cualquier déficit, pero para la tarde del sábado, la declaración oficial se suavizó a «explorar vías para compensar el déficit», lo que muestra que el tamaño de las reservas quizá no sea suficiente para cubrir completamente el hueco de 196 millones de dólares de cuentas incobrables.

Si la reserva de Umbrella no puede cubrir completamente las pérdidas, según los mecanismos de diseño de Aave, los tenedores de stkAAVE (los tokens AAVE en staking) podrían tener que asumir parte de las pérdidas; esta es una de las razones profundas por las que el token AAVE se vio presionado un 16% durante este evento.

Lección más amplia: puntos ciegos del riesgo sistémico del colateral LRT

La lección central de este evento va más allá de Kelp y de Aave en sí. Los tokens de rehipotecación de liquidez (LRT) ya han sido incluidos por todos los principales protocolos DeFi en su lista blanca de colateral, debido a que tienen una propiedad de rendimiento y representan una proporción cada vez mayor del valor bloqueado de Ethereum. Sin embargo, en los modelos de riesgo existentes para valorar LRT, se asume que mantendrá su valor anclado bajo condiciones normales de mercado, sin considerar escenarios extremos como que un puente subyacente sea atacado y el colateral caiga instantáneamente a cero.

El trader Altcoin Sherpa señaló en X: «AAVE es la columna vertebral de DeFi y contiene decenas de miles de millones de dólares. Cuando AAVE muestra riesgo de contagio, esto indica la fragilidad de todo el sistema».

Preguntas frecuentes

¿Los contratos del protocolo de Aave fueron comprometidos en este ataque?

No. El fundador de Aave, Stani Kulechov, indicó claramente que este fue un ataque externo y que los contratos inteligentes de Aave no sufrieron daños. La aparición de las cuentas incobrables se originó en que Aave aceptó rsETH como colateral, y sus activos subyacentes desaparecieron después de ser atacados en el puente cross-chain de Kelp al que Aave no podía acceder, haciendo que las posiciones de préstamo relacionadas se convirtieran en cuentas incobrables imposibles de recuperar.

¿Cómo funciona el mecanismo de reservas de Umbrella de Aave y por qué los tenedores de stkAAVE enfrentan riesgo?

Umbrella es el módulo de seguridad de Aave, diseñado para hacer frente a déficits por cuentas incobrables del protocolo. Cuando las reservas no pueden compensar completamente las pérdidas, los tenedores de stkAAVE (es decir, los usuarios de tokens AAVE en staking) como última línea de defensa, podrían ver su token de staking reducido (Slashing) para cubrir el déficit. En este evento, si la reserva de Umbrella puede cubrir o no 196 millones de dólares en cuentas incobrables sigue siendo incierto; esta es la razón central de la fuerte presión que sufrió el token AAVE esta vez.

¿Qué impacto sistémico tuvo este evento en el mercado de préstamos DeFi?

Este evento revela el punto ciego sistémico del colateral tipo LRT: los protocolos de préstamo aceptan ampliamente LRT como colateral, pero en la práctica introducen el riesgo de seguridad de los puentes en el libro contable de los préstamos. Cualquier fallo de seguridad de un puente puede provocar cuentas incobrables inesperadas en los protocolos de préstamo que aceptan LRT relacionados. Esto exige que cada protocolo DeFi reevalue el modelo de riesgo del colateral LRT, la tasa de colateral y la configuración de límites máximos de posiciones.