Los recientes ataques a las plataformas de finanzas descentralizadas (DeFi) han reavivado el debate sobre los riesgos sistémicos que representan los protocolos de blockchain abiertos. En el centro de estas discusiones están los dramáticos eventos de abril de 2026, cuando un hackeo de $292 millones dirigido al puente KelpDAO fue seguido en un plazo de 48 horas por un sorprendente retiro de $8.45 mil millones de la plataforma de préstamos DeFi Aave.
Impacto financiero del incidente de abril
Hablando en el evento Proof of Talk en París la semana pasada, el fundador y CEO de Aave Labs, Stani Kulechov, argumentó que la arquitectura de Aave es matemáticamente más robusta que las finanzas tradicionales. A pesar de las duras condiciones del mercado, enfatizó que la plataforma mantuvo su resiliencia.
La infraestructura actual V3 de Aave ha resistido múltiples ciclos de mercado y ha permanecido altamente resiliente, incluso en períodos de grave turbulencia, según Kulechov.
Un análisis más detallado de los eventos de abril revela que la supervivencia de Aave no se debió únicamente al diseño automatizado. Durante la recuperación de emergencia, la Aave DAO comprometió 25,000 ETH, mientras que Kulechov contribuyó personalmente con 5,000 ETH. Este apoyo combinado, valorado en aproximadamente $300 millones, fue instrumental en aliviar la presión sobre la plataforma.
Mecánica del ataque y vulnerabilidades
Kulechov diferenció entre las vulnerabilidades en el código central de los contratos inteligentes y los problemas que surgen de la infraestructura externa. Cree que los contratos inteligentes de DeFi son generalmente sólidos, pero las verdaderas debilidades emergen de las dependencias de terceros.
Desde una perspectiva de desarrollo, la mayoría de los contratos inteligentes de DeFi tienen muy pocos problemas. Los riesgos más significativos—capaces de impactar todo el espacio DeFi—tienden a derivarse de dependencias relacionadas con la seguridad tradicional, como los incidentes recientes han demostrado, explicó Kulechov.
Un breve resumen: el spoofing de RPC implica engañar a un sistema haciéndose pasar por una fuente confiable de llamadas a procedimientos remotos, mientras que un ataque DDoS es un intento distribuido de denegación de servicio destinado a hacer que un servicio sea inaccesible mediante un volumen abrumador de solicitudes.
La firma de modelado de riesgos LlamaRisk informó que los atacantes explotaron la situación al atacar nodos validadores LayerZero con ataques de spoofing RPC y DDoS. Produjeron colateral sin valor, lo depositaron en Aave y retiraron Ether envuelto auténtico (wETH) a cambio. El resultado fue una deuda estimada en $123.7 millones no recuperables en Aave V3.
Revisión de gestión de riesgos con V4
Los analistas del Instituto de Políticas Bancarias destacaron que la cobertura limitada de seguros de Aave deja a los usuarios expuestos durante las salidas abruptas de fondos. Su evaluación reforzó las preocupaciones de que la transparencia en la cadena por sí sola no protege adecuadamente a los usuarios contra vulnerabilidades sistémicas.
Kulechov reconoció la necesidad de abordar el riesgo de contagio a nivel arquitectónico. Reveló que Aave Labs tiene como objetivo rediseñar la gestión de riesgos con la próxima actualización V4, buscando finalmente prevenir retiros a gran escala desencadenados por ataques basados en puentes en el futuro.
La nueva versión reemplazará el modelo tradicional de agrupamiento de tokens con un sistema modular de “centro y eje”. En este marco, el protocolo principal aplicará primas de riesgo localizadas a tipos específicos de colateral y podrá congelar líneas afectadas antes de que el contagio se extienda hasta las reservas de crédito principales.
Un sistema completamente auditable y abierto permite a cualquiera revisar el código y realizar análisis de riesgo independientes—esta es la clave para construir software resiliente, añadió Kulechov.
