Puntos clave de la noticia:
- Aave está revisando todos los activos de V3 y reescribiendo sus estándares de listado tras un exploit de $230M en rsETH vinculado al puente de KelpDAO impulsado por LayerZero.
- El ataque permitió que un verificador aprobara un mensaje cross-chain falso y acuñara 116,500 rsETH sin respaldo en Ethereum, generando préstamos irrecuperables.
- Aave ampliará sus revisiones a puentes, oráculos, custodios y seguridad operativa, mientras añade defensas automatizadas y endurece límites de suministro y préstamo en sus mercados V3.
Aave está endureciendo su marco de listado de activos después de que un exploit de $230M en rsETH expusiera un riesgo que no provenía de los propios smart contracts de Aave. El postmortem del protocolo de préstamos vinculó el ataque de abril al puente de KelpDAO impulsado por LayerZero, donde una falla de verificación permitió que entrara colateral falso al sistema. La lección incómoda es que un buen código todavía puede heredar mal colateral, porque los protocolos DeFi dependen cada vez más de infraestructura fuera de sus contratos inmediatos. Aave ahora revisará todos los activos de V3 y reescribirá sus estándares alrededor de esa exposición más amplia.
— Aave (@aave) May 31, 2026
El riesgo de puentes obliga a una revisión más amplia del colateral
El exploit se centró en rsETH, el token de ether restakeado de KelpDAO, que representa un derecho sobre ETH ya bloqueado en staking y reutilizado para obtener rendimiento adicional. Para mover rsETH entre cadenas, KelpDAO usaba infraestructura de puente de LayerZero. En el ataque, un único verificador aprobó un mensaje cross-chain falso, permitiendo que se acuñaran 116,500 rsETH sin respaldo en Ethereum. Aave funcionó como estaba diseñado, pero el activo que aceptó era falso, dejando al protocolo con préstamos que no podían recuperarse una vez que el colateral resultó no tener valor. La falla convirtió casi de inmediato la verificación de puentes en riesgo crediticio dentro de Aave.
Esa distinción está impulsando la reforma. Aave dijo que las revisiones tradicionales de volatilidad, liquidez y auditorías de smart contracts ya no eran suficientes para activos cuyo valor depende de puentes, redes de verificación y controles operativos. Las futuras evaluaciones de colateral también examinarán infraestructura de puentes, dependencias de oráculos, contratos de terceros, custodios, seguridad operativa y liquidez en mercados secundarios. La pregunta de listado se está expandiendo de riesgo del token a riesgo de dependencias, un cambio que parece necesario, aunque difícil, porque los activos DeFi suelen llegar envueltos en múltiples sistemas que pueden fallar lejos del propio mercado de préstamos.
Aave también está incorporando defensas más rápidas después del exploit. Un mecanismo propuesto reduciría automáticamente a cero el ratio loan-to-value de un activo cuando se superen umbrales de riesgo predefinidos, eliminando capacidad de préstamo antes de que las pérdidas se propaguen. Desde el ataque, los gestores de riesgo ya realizaron cerca de 295 cambios de parámetros en mercados V3, incluidas 168 reducciones de límites de suministro y 66 reducciones de límites de préstamo. La respuesta inmediata es contención mediante límites más estrictos, pero el mensaje más amplio es estructural: los listados de activos ya no pueden tratarse como aprobaciones aisladas de tokens cuando la infraestructura cross-chain, los puentes y validadores externos pueden determinar silenciosamente si el colateral es real.
