Aave defiende su resiliencia tras una retirada de 8.450 millones de dólares
Stani Kulechov, fundador y CEO de Aave Labs, defendió la resistencia del protocolo después de una retirada de depósitos de 8.450 millones de dólares en 48 horas. El episodio reabrió el debate sobre la gestión de riesgo en DeFi y aceleró la atención sobre la futura actualización V4 de Aave.
¿Qué pasó?
Stani Kulechov, fundador y CEO de Aave Labs, defendió la resistencia del protocolo después de una retirada de depósitos de 8.450 millones de dólares en 48 horas. El episodio reabrió el debate sobre la gestión de riesgo en DeFi y aceleró la atención sobre la futura actualización V4 de Aave.
¿Por qué importa?
El caso importa porque expuso cómo una falla en infraestructura externa puede propagarse hacia grandes plataformas DeFi, incluso cuando el código central del protocolo no sea el origen directo del ataque. Para usuarios, empresas y participantes institucionales, el episodio pone el foco en la diferencia entre seguridad de contratos inteligentes y riesgo sistémico derivado de dependencias de terceros.
Aave enfrentó en abril de 2026 una retirada de depósitos de 8.450 millones de dólares en 48 horas, detonada por un exploit de 292 millones de dólares contra el puente de KelpDAO basado en LayerZero, según CoinDesk. Stani Kulechov, fundador y CEO de Aave Labs, sostuvo en el evento Proof of Talk de París que la infraestructura V3 del protocolo había demostrado resiliencia durante periodos turbulentos.
El caso importa porque expuso cómo una falla en infraestructura externa puede propagarse hacia grandes plataformas DeFi, incluso cuando el código central del protocolo no sea el origen directo del ataque. Para usuarios, empresas y participantes institucionales, el episodio pone el foco en la diferencia entre seguridad de contratos inteligentes y riesgo sistémico derivado de dependencias de terceros.
Kulechov atribuyó parte de las vulnerabilidades recientes de DeFi a esas dependencias externas, más cercanas a problemas de seguridad tradicional que a errores propios de los contratos inteligentes. CoinDesk señala que el ataque comenzó con una ofensiva de RPC spoofing y DDoS contra nodos verificadores de LayerZero en KelpDAO, no con un fallo directo en el código de Aave.
Aun así, el impacto sobre Aave fue significativo. De acuerdo con la firma de modelado de riesgo LlamaRisk, los atacantes usaron el exploit para acuñar colateral sin valor, depositarlo en Aave y retirar wETH real, dejando a Aave V3 con una deuda incobrable estimada en 123,7 millones de dólares. La supervivencia del protocolo también dependió de un rescate de emergencia de 300 millones de dólares, que incluyó 25.000 ETH de Aave DAO y 5.000 ETH aportados personalmente por Kulechov, según el reporte.
Aave Labs prepara ahora su actualización V4 con cambios orientados a contener contagios futuros. Kulechov describió un diseño modular de tipo “hub-and-spoke” que sustituiría el modelo de pools compartidos, con herramientas para aplicar primas de riesgo localizadas y congelar líneas específicas de colateral antes de que un problema alcance las reservas principales de préstamo.