Una importante brecha en las finanzas descentralizadas durante el fin de semana resultó en la pérdida de aproximadamente $292 millones, colocando nuevamente la atención en las vulnerabilidades de seguridad y las brechas en la gestión de riesgos. El incidente afectó a plataformas de préstamos prominentes, incluyendo Aave, y generó un nuevo debate sobre la resiliencia de la infraestructura actual de DeFi.
Falla en el protocolo Kelp lleva a un gran aprovechamiento
Las investigaciones iniciales indican que el ataque se dirigió a rsETH, un token de rendimiento basado en Ethereum, explotando la mecánica detrás de su sistema de transferencia entre cadenas. El atacante manipuló una vulnerabilidad para acuñar un gran volumen de tokens virtuales sin suficiente colateral. Estos tokens fueron rápidamente canalizados a protocolos de préstamo como colateral, permitiendo el rápido retiro de activos digitales reales—principalmente de Aave, uno de los mayores grupos de préstamos de DeFi.
Charles Guillemet, CTO de Ledger, dijo a CoinDesk que la explotación se centró en el componente del puente LayerZero, que permite transferencias de activos entre cadenas de bloques. Normalmente, estos puentes bloquean activos en una cadena mientras emiten tokens equivalentes en otra, confiando en validadores o oráculos para la confirmación. En este caso, la dependencia de Kelp en una única autoridad de firma llevó a que el atacante tomara el control, desencadenando una acuñación masiva no autorizada de rsETH.
“Parece que el atacante pudo firmar el mensaje que permite una gran acuñación de rsETH; aún no está claro exactamente cómo obtuvieron este acceso,” explicó Guillemet.
La caída en los grupos de préstamos causa un efecto dominó
Los tokens producidos ilícitamente entraron rápidamente en los grupos de préstamos de Aave, donde el perpetrador los usó como colateral para pedir prestado Ethereum (ETH) real y retirarlo del sistema. El impacto escaló más allá de un fallo técnico, exponiendo un riesgo sistémico significativo ya que Aave y otras plataformas quedaron con vastas reservas de rsETH efectivamente sin valor mientras que los activos genuinos desaparecieron.
Michael Egorov, fundador de Curve Finance, señaló que colocar la autoridad absoluta en una sola parte crea una vulnerabilidad crítica. Incluso un pequeño descuido en esta arquitectura, advirtió, puede desencadenar una reacción en cadena con efectos de gran alcance.
“Debido al rsETH invendible y los máximos retiros de ETH en Aave, nadie puede retirar Ether en este momento. Esto está aumentando el riesgo de una clásica corrida bancaria mientras los usuarios se apresuran a retirar fondos,” comentó Egorov.
Impacto en la industria y preguntas persistentes
El ataque siguió de cerca a la pérdida de $285 millones en el protocolo Drift basado en Solana apenas unas semanas antes. A medida que el valor total del sector DeFi se acerca a los $90 mil millones, la serie de incidentes importantes de seguridad está sacudiendo la confianza de los inversores. En las secuelas, los activos totales en Aave cayeron casi $6 mil millones, mientras que el propio token de la plataforma cayó casi un 15% en las últimas 24 horas.
Los detalles de la brecha siguen siendo confusos. Los expertos aún no han confirmado si el nodo oficial de LayerZero fue hackeado, mal configurado, o engañado de alguna otra manera. La verdadera identidad del atacante (o atacantes) es desconocida, aunque la escala y sofisticación sugieren una participación profesional.
El episodio ilustra claramente cómo el aumento de la interconexión entre plataformas DeFi amplifica el riesgo de que una sola falla pueda desestabilizar todo un ecosistema. Egorov también argumentó que el agrupamiento del riesgo en los protocolos de préstamo acelera la propagación de crisis durante tales eventos.
Otra crítica se dirigió al proceso de incorporación de nuevos activos. Los observadores resaltaron que la configuración de validador uno a uno de Kelp fue un punto débil que debería haberse identificado y abordado. A pesar del revés, Egorov cree que DeFi finalmente se fortalecerá y se adaptará aprendiendo de estas crisis.
Mientras que los fallos repetidos en los protocolos impulsan mejoras en todo el sistema, cada incidente erosiona significativamente la confianza del usuario. Guillemet destacó que el resultado neto es una erosión gradual de la confianza en DeFi, junto con una alta probabilidad de que surjan aún más brechas y vulnerabilidades en los próximos años.
