18 de abril de 2026: un momento decisivo para Aave—el principal protocolo de préstamos, hasta entonces sin historial de brechas de seguridad en contratos inteligentes—cuando un ataque dirigido al puente cross-chain de Kelp DAO dejó una huella imborrable. El atacante acuñó aproximadamente 116 500 rsETH de la nada, los depositó como garantía en Aave, tomó prestada una cantidad sustancial de ETH real y desapareció. El valor total bloqueado (TVL) de Aave cayó en picado de unos 26,4 mil millones de dólares a 18 mil millones en solo dos días, evaporándose más de 8 mil millones. Paralelamente, los tipos de interés de préstamos de stablecoins en Aave se dispararon hasta el 15 % y el CoinDesk Overnight Rate (CDOR), que utiliza a Aave como referencia subyacente, alcanzó su nivel más alto desde principios de 2024.
Por un lado, el TVL se desplomó y la deuda incobrable acechaba; por otro, los tipos de depósito en stablecoins rozaban un inusual 14 %.
Cómo un ataque sin tocar contratos inteligentes sacudió al mayor protocolo de préstamos DeFi
A las 17:35 (UTC) del 18 de abril de 2026, el puente cross-chain de rsETH desarrollado por Kelp DAO sobre la tecnología LayerZero fue atacado. En 46 minutos, el atacante falsificó mensajes cross-chain y liberó ilícitamente unos 116 500 rsETH desde la red principal de Ethereum, valorados en torno a 293 millones de dólares en ese momento—aproximadamente el 18 % del suministro circulante total del token.
Esto convirtió el incidente de Kelp DAO en el mayor ataque a un solo protocolo DeFi en lo que va de 2026.
Inmediatamente después del ataque, los guardianes y gestores de riesgos de Aave congelaron todas las reservas de rsETH y wrsETH en 11 mercados, fijaron el LTV en cero, redujeron los tipos de WETH multichain y detuvieron los préstamos de WETH. El fundador de Aave, Stani Kulechov, confirmó que los contratos inteligentes de Aave no se vieron comprometidos y que la lógica del protocolo permaneció intacta.
Aunque el ataque no se dirigió a los contratos principales de Aave, expuso un riesgo estructural largamente infravalorado en la composabilidad DeFi: un fallo de configuración en un protocolo externo puede propagarse a través de las cadenas de garantías, desencadenando crisis de liquidez y acumulación de deuda incobrable en sistemas de préstamos masivos como Aave. El protocolo en sí no fue vulnerado, pero el fallo crediticio de activos upstream impactó directamente en los pools de liquidez downstream.
De la vulnerabilidad del puente a la contagio sistémico
Cronología completa de los hechos:
| Hora (2026, UTC) | Evento clave |
|---|---|
| 18 de abril, 17:35 | El atacante envía mensajes cross-chain falsificados al contrato puente de Kelp DAO y libera ilegalmente 116 500 rsETH |
| En los 6 minutos siguientes al ataque | El atacante deposita rsETH en los mercados Aave V3 y V4 a través de 8 direcciones preconfiguradas y toma prestado WETH |
| En los 46 minutos siguientes al ataque | El grupo multisig de emergencia de Kelp DAO congela los componentes centrales del protocolo y bloquea con éxito dos intentos de retirada posteriores por un total de 40 000 rsETH (unos 100 millones de dólares) |
| Madrugada del 19 de abril | Los guardianes de Aave congelan todas las reservas de rsETH/wrsETH en 11 mercados y fijan el LTV en cero |
| 19 de abril | Según DefiLlama, el TVL de Aave cae de unos 26,3 mil millones de dólares a 18 mil millones, perdiendo aproximadamente 8,3 mil millones en dos días |
| 20 de abril | LayerZero publica una investigación preliminar, atribuyendo el ataque al Lazarus Group (TraderTraitor) de Corea del Norte |
| 21 de abril | El Security Council de Arbitrum congela 30 766 ETH (unos 71 millones de dólares) relacionados con el ataque |
La rápida transmisión de este ataque a los pools centrales de préstamos de Aave estuvo estrechamente ligada a la función E-Mode de alta eficiencia de Aave V3. Utilizando rsETH como garantía en E-Mode, el atacante pudo tomar prestado WETH hasta un 93 % del valor de la garantía (LTV), logrando casi un intercambio 1:1 de activos. Aunque este diseño optimiza la eficiencia de capital en condiciones normales, se convierte en un amplificador de pérdidas cuando se rompe el crédito de la garantía.
Escala de deuda incobrable, volatilidad de tipos y flujos de capital on-chain
Fuerte descenso del TVL de Aave
Antes del incidente, el TVL de Aave rondaba los 26,4 mil millones de dólares. En solo dos días, cayó hasta los 18 mil millones—una disminución superior al 31 %. Analistas on-chain reportaron salidas diarias de 6,6 mil millones de dólares desde Aave, con stablecoins representando 3,3 mil millones. En todo DeFi, el TVL total descendió de unos 99,49 mil millones a 86,29 mil millones, una caída de 13,2 mil millones.
Los pools de USDT y USDC de Aave V3 alcanzaron el 100 % de utilización, es decir, todos los activos disponibles fueron prestados, impidiendo temporalmente que los depositantes pudieran retirar fondos.
Estimaciones duales sobre la escala de deuda incobrable
Según un informe del proveedor de riesgos de Aave, LlamaRisk, la magnitud de la deuda incobrable depende de cómo se asignen las pérdidas:
- Escenario 1 (prorrateo global): Deuda incobrable estimada en unos 123,7 millones de dólares, con el mercado Core de Ethereum como principal afectado.
- Escenario 2 (pérdidas limitadas a L2): Deuda incobrable estimada en unos 230,1 millones, con Mantle enfrentando un déficit de reservas de WETH de hasta el 71,45 % y Arbitrum del 26,67 %.
El tesoro de Aave DAO cuenta actualmente con unos 181 millones de dólares en activos, suficiente para cubrir el escenario 1, pero con un déficit de 49 millones en el escenario 2, lo que requeriría reservas adicionales o apoyo externo.
El CDOR se dispara hasta el 15 %
Las masivas salidas de capital impulsaron los tipos de depósito de USDT y USDC en Aave hasta el 13,4 %, mientras que los tipos de préstamo alcanzaron el 15 %. El CoinDesk Overnight Rate (CDOR)—índice de referencia publicado por CoinDesk Indices basado en los pools de préstamos flotantes de stablecoins de Aave V3—también se disparó hasta su nivel más alto desde 2024, llegando al 15 %.
El CDOR fue diseñado para proporcionar un índice de referencia estandarizado de tipo overnight para los mercados monetarios de stablecoins, facilitando la cobertura de costes, el bloqueo de rendimientos y estrategias de tipos cruzados. Normalmente fluctúa entre el 2 % y el 5 %. El actual 15 % es de 3 a 7 veces superior a lo habitual, reflejando desequilibrios extremos de liquidez.
Flujos de capital—migración estructural de Aave a Spark
Mientras Aave experimentaba enormes salidas, otros grandes protocolos de préstamos mostraban tendencias opuestas:
- Aave: Los depósitos totales cayeron de 48,5 mil millones de dólares a 30,7 mil millones en tres días, una salida neta de unos 15,1 mil millones (–31 %).
- Morpho: Descendió de 11,7 mil millones a 10,2 mil millones, una salida neta de 1,5 mil millones, con impacto limitado.
- Spark (SparkLend): El TVL creció contra la tendencia, pasando de 1,9 mil millones a 3,2 mil millones, una entrada neta de 1,3 mil millones.
Estas cifras evidencian percepciones de riesgo divergentes entre los participantes del mercado. Parte de los fondos institucionales que salieron de Aave migraron a plataformas consideradas alternativas más seguras, siendo Spark el principal beneficiado.
Análisis de sentimiento de mercado: cómo valoran los actores las perspectivas de recuperación de Aave
Valoraciones de los principales analistas:
El fundador de DefiLlama, @0xngmi, expuso dos escenarios. Según cómo se gestione el bloqueo de los 71 millones de dólares en ETH en Arbitrum, la deuda incobrable de Aave podría oscilar entre 17 y 341 millones. Considera que, con el tesoro del protocolo y los ajustes necesarios, los protocolos afectados pueden "recuperarse por completo".
El socio director de Dragonfly, Haseeb Qureshi, afirmó: "AAVE puede tener que absorber parte de la deuda incobrable, pero dispone de suficientes activos netos para reembolsarla".
Blockworks Research subrayó que el incidente de Kelp expuso riesgos estructurales en los pools de liquidez unificados: las pérdidas en un solo pool de préstamos pueden "socializarse" entre todos los depositantes, lo que lleva a una subestimación sistémica de los riesgos de ciertas garantías.
Indicadores cuantitativos del sentimiento de mercado:
Según datos de mercado de Gate, a 23 de abril de 2026 el precio del token AAVE era de 91,64 dólares, con una caída del 1,95 % en 24 horas y un volumen negociado de 7,76 millones en ese periodo. La capitalización de mercado de AAVE era de 1,38 mil millones, la capitalización totalmente diluida de 1,46 mil millones y la ratio de capitalización sobre FDV del 94,85 %. En los últimos 7 días, AAVE cayó un 13,81 %; en 30 días, un 16,27 %; y en el último año, un 42,05 %.
Puntos clave de desacuerdo:
El debate sobre la recuperación de Aave se centra en tres áreas principales:
Primero, los límites de la cobertura de deuda incobrable. Los optimistas creen que el tesoro de Aave (181 millones de dólares) basta para cubrir los 123,7 millones del escenario 1. Los pesimistas temen que, si se materializa la pérdida de 230,1 millones del escenario 2, el déficit obligue a los stakers de stkAAVE a asumir el resto de las pérdidas.
Segundo, la ventana de recuperación de liquidez. Algunos analistas prevén que el bloqueo por utilización al 100 % de los pools dure varias semanas, durante las cuales los derechos de retirada de los depositantes quedarían "en pausa". Otros sostienen que el tipo CDOR del 15 % es el regulador de mercado más eficaz, atrayendo capital en busca de rentabilidad.
Tercero, la permanencia en la pérdida de cuota de mercado. Aave perdió unos 15,1 mil millones en depósitos en 3,5 días, mientras Spark absorbió 1,3 mil millones. Queda por ver si esto supone una reconfiguración estructural del mercado de préstamos DeFi.
Impacto sectorial: mecánica de la ventana de arbitraje CDOR y claves estructurales
Desglose on-chain de la lógica de arbitraje:
Con un CDOR al 15 %, se abre una ventana de arbitraje poco frecuente para los tenedores de stablecoins en la historia de DeFi. La lógica básica es la siguiente:
Depositar USDC/USDT genera una rentabilidad anualizada de aproximadamente el 13,4 %, mientras que los mercados financieros tradicionales ofrecen rendimientos equivalentes para stablecoins (como los fondos monetarios) del 4 % al 5 %. Esta diferencia de 8 a 9 puntos porcentuales constituye la base del arbitraje.
Sin embargo, los arbitrajistas deben valorar tres dimensiones clave de riesgo:
Primero, riesgo de bloqueo de liquidez. Los pools de stablecoins de Aave V3 están al 100 % de utilización. Los nuevos depósitos obtienen altos rendimientos de inmediato, pero las retiradas dependen de que los prestatarios devuelvan o entren nuevos depósitos. Esto implica un riesgo de descalce de plazos—la contrapartida de la alta rentabilidad es la imprevisibilidad en el momento de salida.
Segundo, incertidumbre sobre los mecanismos de cobertura de deuda incobrable. Si Aave cubre la deuda mediante el módulo de seguridad Umbrella o fondos del tesoro, el principal de los depositantes permanece seguro. Si las pérdidas se socializan entre depositantes, los altos tipos actuales podrían no compensar eventuales pérdidas de principal. Esta incertidumbre es la mayor barrera para la entrada de capital de arbitraje a gran escala.
Tercero, duración de los tipos elevados. Los tipos altos derivan de la crisis de liquidez, no de la rentabilidad del protocolo. Cuando surjan soluciones a la deuda incobrable o vuelva la confianza al mercado, los tipos de depósito pueden normalizarse en cuestión de horas. Los arbitrajistas deben calibrar con precisión la duración de la ventana.
Cambios estructurales en la competencia entre protocolos de préstamos DeFi:
El impacto del incidente de Kelp en DeFi puede ir mucho más allá de un ataque aislado. Blockworks Research señaló que las enormes salidas de depósitos de Aave podrían marcar la primera brecha real en su foso de liquidez. Si los depositantes empiezan a valorar el "aislamiento de riesgos" como una característica por la que merece la pena pagar, los acontecimientos recientes podrían acelerar la reasignación estructural de capital entre protocolos de préstamos.
Mientras tanto, se espera que Aave V4 se lance a mediados de 2026, con una arquitectura "hub-and-spoke" para mejorar la liquidación cross-chain y los marcos de cumplimiento institucional. El momento de lanzamiento de V4 frente a la recuperación de la crisis actual será un indicador clave de la restauración competitiva de Aave.
Conclusión
La crisis afrontada por Aave es, en esencia, una prueba de estrés extrema para el paradigma de composabilidad DeFi. Los contratos principales del protocolo permanecieron intactos, pero los fallos crediticios de activos upstream se propagaron a través de las cadenas de garantías, desencadenando una cascada en un sistema de préstamos de miles de millones. Esto recuerda al sector que, en DeFi, la seguridad de un protocolo depende no solo de su propio código, sino también de cómo se conecta con el ecosistema y diseña sus rutas de transmisión de riesgos.
El repunte de los tipos CDOR al 15 % es tanto una advertencia como una señal de autorregulación del mercado. Los tipos elevados actúan como reguladores de liquidez: penalizan el endeudamiento excesivo, premian a los depositantes dispuestos a asumir el riesgo de bloqueo de liquidez y, en última instancia, guían el retorno del capital. Encontrar el equilibrio entre la resolución de deuda incobrable y la restauración de la confianza determinará la evolución de Aave y del sector de préstamos DeFi en general. Para los participantes del mercado, comprender toda la cadena lógica de este evento es mucho más valioso a largo plazo que perseguir oscilaciones de tipos a corto plazo.
