-
El precio del token AAVE cae 20% en las รบltimas 24 horas.
-
Aave reaccionรณ congelando ciertos mercados de su plataforma y bloqueando el uso de WETH.
El protocolo de prรฉstamos Aave registra una salida masiva de capital que asciende a 5.400 millones de dรณlares en ether (ETH) โaproximadamente 2,3 millones de unidadesโ tras confirmarse un exploit en el puente de Kelp DAO, ocurrido ayer, 18 de abril de 2026.
Como consecuencia de este hecho, la tasa de utilizaciรณn de ETH en Aave llegรณ al 100%, mientras el token de gobernanza AAVE se desploma un 20% en las รบltimas 24 horas.
La secuencia de eventos iniciรณ el sรกbado 18 de abril, cuando un atacante logrรณ vulnerar el puente intercadena (cross-chain) de Kelp DAO, el cual utiliza la infraestructura de mensajerรญa de LayerZero. El perpetrador drenรณ 116.500 rsETH (ether restakeado lรญquido), lo que representa el 18% del suministro circulante total del token.
El valor de lo sustraรญdo asciende a 292 millones de dรณlares, convirtiรฉndose en el mayor hackeo DeFi en lo que va de 2026, superando el ataque sufrido por el protocolo Drift que, tal como reportรณ CriptoNoticias, ocurriรณ el pasado 1 de abril.
El atacante utilizรณ una vulnerabilidad en la lรณgica de validaciรณn de LayerZero para engaรฑar al puente de Kelp DAO. Mediante el envรญo de instrucciones de mensajerรญa falsificadas, el protocolo interpretรณ como vรกlida una orden de liberaciรณn de fondos desde otra red, lo que resultรณ en la transferencia masiva de rsETH a direcciones controladas por el hacker.
ZachXBT, investigador on-chain, confirmรณ quelas direcciones del atacante fueron financiadas originalmente a travรฉs de Tornado Cash, dificultando el rastreo inicial de la identidad del perpetrador. A pesar de que el sistema de pausa de emergencia de Kelp DAO congelรณ los contratos, el atacante ya habรญa asegurado el botรญn principal.
El impacto en Aave ha sido sistรฉmico debido a la integraciรณn de rsETH como colateral en los mercados de la versiรณn 3 (V3) y la recientemente lanzada versiรณn 4 (V4). Al comprometerse el respaldo del token rsETH โque depende de las reservas en el puente ahora drenadoโ, se generรณ un riesgo inmediato de deuda incobrable (bad debt) para Aave.
Aave Labs actuรณ de manera reactiva:
- Congelaciรณn de mercados: Se suspendieron todas las operaciones con rsETH para evitar nuevos depรณsitos o toma de prรฉstamos contra este activo.
- Bloqueo de WETH: Stani Kulechov, fundador de Aave, confirmรณ la congelaciรณn preventiva de los mercados de Wrapped Ether (WETH) como medida de contenciรณn para proteger la solvencia del protocolo.
Sin embargo, estas medidas no evitaron la ยซcorrida bancariaยป. La incertidumbre sobre la paridad de rsETH y la solvencia de los fondos en Aave provocรณ una salida masiva de activos. Esta fuga masiva ha drenado las reservas disponibles de ETH en el protocolo, llevando la tasa de utilizaciรณn al 100%.
Una tasa de utilizaciรณn del 100% significa que todo el ETH depositado en Aave estรก actualmente prestado. En este estado, los depositantes que aรบn mantienen fondos en el protocolo no pueden retirar su capital ni cerrar posiciones que requieran la devoluciรณn de ETH, creando un bloqueo de liquidez.
El mercado ha reaccionado con severidad. Tal como se observa en la imagen a continuaciรณn, el precio del token AAVE cotiza actualmente con una pรฉrdida del 20% en las รบltimas 24 horas, reflejando el temor de los inversionistas.
La crisis tambiรฉn ha exacerbado tensiones polรญticas dentro de la gobernanza de Aave. En el foro oficial del protocolo, usuarios y delegados han cuestionado el rol de figuras clave. Crรญticas dirigidas hacia Marc Zeller, de la Aave Chan Initiative (ACI), sugieren una fractura en la toma de decisiones tras la pรฉrdida de influencia frente a Aave Labs.
En un giro inesperado, Justin Sun, fundador de la red Tron, publicรณ un mensaje directo al atacante a travรฉs de X: ยซHacker de KelpDAO, ยฟcuรกnto quieres? Hablemos. No vale la pena sacrificar Aave y KelpDAO por esto. De todas formas, no puedes gastar 300 millones de dรณlaresยป.
Este intento de negociaciรณn busca convertir el exploit en un ยซhackeo de sombrero blancoยป, donde el atacante devuelve la mayorรญa de los fondos a cambio de una recompensa y la promesa de no emprender acciones legales. Hasta el momento, no hay confirmaciรณn de respuesta por parte de las direcciones vinculadas al robo.
