Durante el fin de semana, una vulnerabilidad crítica en los puentes de KelpDAO y LayerZero puso al gigante de las finanzas descentralizadas Aave en un gran riesgo financiero. Debido a una laguna en los mecanismos de transferencia entre cadenas, se estimó que las posibles pérdidas de Aave podrían alcanzar hasta los $230 millones.
¿Cómo se explotó la vulnerabilidad del puente?
Según un informe detallado publicado por Aave Labs y LlamaRisk en el foro de gobernanza de Aave, el incidente se centra en rsETH, un token líquido de restaking emitido por KelpDAO. Al transferir rsETH a través de diferentes blockchains, se utiliza un sistema de puentes, con el principio de que un token se bloquea en una cadena y se acuña un equivalente en otra.
Sin embargo, durante este proceso, un atacante logró crear una solicitud de transacción fraudulenta. Como resultado, aunque los tokens no se retiraron realmente de la red de envío, se pudieron acuñar nuevos rsETH como si lo hubieran sido. Este método permitió la liberación de 116,500 rsETH que debían haber permanecido bloqueados en .
El atacante deposita rsETH en Aave y retira grandes préstamos
En lugar de vender inmediatamente los rsETH acuñados, el atacante depositó 89,567 de estos tokens en la plataforma Aave como garantía. Luego, pidieron prestado un total de $190 millones en ETH y otros activos a través de las redes Ethereum y Arbitrum. Esta maniobra dejó a Aave con una reserva de garantía cuyo respaldo real en el mercado era altamente cuestionable.
“A las pocas horas del ataque, congelamos los mercados de rsETH, suspendimos la actividad de préstamos y establecimos ratios de colateral a cero para el activo,” explicó Aave Labs, describiendo su rápida respuesta al incidente.
Poco después de detectar la brecha, Aave Labs suspendió toda actividad de rsETH como medida de precaución. Se implementaron controles de riesgo de emergencia adicionales, bloqueando nuevos préstamos contra rsETH y minimizando una mayor exposición.
¿Cómo se determinará la escala de las pérdidas?
La gravedad definitiva de las pérdidas depende de cómo KelpDAO aborde la laguna. Si el daño se distribuye equitativamente entre todos los poseedores de rsETH, los expertos pronostican una caída del 15% en el valor del token y $124 millones en deuda incobrable específicamente en Aave. Pero si los costos están limitados a soluciones de Capa 2, podrían surgir casi $230 millones en préstamos incobrables en las redes Arbitrum y .
Los analistas coinciden en que la explotación surgió de una verificación inadecuada de los mensajes de transferencia dentro de la implementación de KelpDAO del protocolo LayerZero. La ausencia de controles de seguridad robustos en la mensajería entre cadenas permitió al atacante inyectar activos sin respaldo en el sistema. Aunque la infraestructura central de LayerZero no fue comprometida directamente, el incidente destacó debilidades en los supuestos de confianza a nivel de mensajes.
En las horas inmediatas al ataque, se produjeron importantes retiros a medida que los usuarios de Aave se apresuraban a proteger sus activos. El valor total bloqueado (TVL) de la plataforma cayó en unos $6 mil millones, reflejando temores crecientes sobre el riesgo sistémico y la erosión de la confianza.
Según el informe del incidente, Aave DAO posee $181 millones en activos en su tesorería. Se están llevando a cabo discusiones internas sobre cómo podrían compensarse las posibles pérdidas, pero hasta el momento, KelpDAO no ha ofrecido un plan concreto sobre cómo tiene la intención de compartir el déficit entre los usuarios.
El incidente sirve como un recordatorio contundente de que incluso las plataformas DeFi de alto nivel como Aave pueden estar expuestas a vulnerabilidades externas en la infraestructura de puentes e intercambio. Con la creciente integración entre ecosistemas blockchain, los expertos enfatizan que la diligencia continua es esencial para gestionar los riesgos emergentes.
