Un usuario de finanzas descentralizadas sufrió pérdidas de $50.4 millones tras intercambiar aEthUSDT por aEthAAVE a través de un widget de CoW Swap en el protocolo Aave, recibiendo finalmente solo $36,000 a cambio. Este evento ha captado la atención en los círculos de DeFi, debido a la magnitud de la pérdida y a la interacción de factores técnicos y humanos que llevaron a la transacción fallida.
Brechas Críticas del Sistema y Descuido del Usuario
La transacción tuvo lugar en Aave, una plataforma de préstamos y préstamos DeFi líder fundada en 2017, que soporta activos agrupados y permite a los usuarios ganar intereses o pedir prestado mediante la colateralización de tokens. CoW Swap, un agregador de intercambios descentralizados basado en Ethereum, facilita operaciones al enrutar órdenes de usuarios a través de las fuentes de liquidez más eficientes utilizando un novedoso mecanismo de competencia de solucionadores.
El usuario de Aave en cuestión confirmó una advertencia de un impacto de precio del 99.9% antes de proceder con el intercambio. Según el análisis posterior del protocolo, esta alerta se mostró claramente, pero el usuario aún autorizó la acción, lo que dejó su transacción excepcionalmente vulnerable a deslizamientos y manipulación del mercado.
La revisión propia de CoW Swap del evento describió dos fallas técnicas principales. Primero, un techo de gas codificado rechazó cotizaciones alternativas que podrían haber dirigido el intercambio de manera más segura y eficiente. Segundo, el solucionador ganador del protocolo no logró completar la transacción en la cadena, recurriendo a rutas de liquidez menos óptimas.
Cómo la Transacción Condujo a Explotaciones MEV
Una supuesta filtración al mempool de Ethereum—donde las transacciones pendientes esperan ser minadas— hizo que este intercambio privado fuera visible públicamente antes de ser finalizado. Esta exposición permitió a los bots automatizados de MEV (Valor Máximo Extraíble) observar y manipular la orden.
Debido a la cadena de bloqueos técnicos, el intercambio se enrutó a través de un pool de SushiSwap AAVE/WETH que tenía solo $73,000 en liquidez, muy por debajo de lo necesario para una transacción de esta magnitud. El tamaño de la operación causó un deslizamiento severo, resultando en la pérdida masiva para el usuario.
Tras detectar la transacción en el mempool, un bot MEV ejecutó un ataque de sándwich: compró AAVE antes de la operación del usuario, provocando un aumento en el precio, y luego vendió después de que la transacción del usuario se completara. Esta rápida manipulación generó alrededor de $9.9 millones en ganancias para el bot.
El bot se coordinó con Titan Builder, un servicio de construcción de bloques en el ecosistema Ethereum, para asegurar la sincronización y el orden de las transacciones relevantes. Titan Builder extrajo aproximadamente $34 millones en ETH por habilitar esta secuencia, amplificando el valor total desviado del evento.
Tanto Aave como CoW Swap han respondido. CoW Swap ha ajustado sus límites de gas para permitir un enrutamiento más flexible y seguro, mientras que Aave está implementando la actualización “Aave Shield”, que bloqueará intercambios con impactos de precio superiores al 25% por defecto. Desarrolladores de ambos protocolos han enfatizado los esfuerzos para abordar vulnerabilidades del sistema expuestas por este incidente y tienen el objetivo de reducir el riesgo de pérdidas similares para los usuarios en el futuro.
