Aave afirma que las operaciones han vuelto a la normalidad tras la sustitución de los activos agotados por un fondo de garantía de 300 millones de dólares

La anatomía del ataque

Aave, pionero de las finanzas descentralizadas (DeFi), ha restablecido con éxito la liquidez total de sus fondos de préstamo, culminando así un agresivo esfuerzo de estabilización de varias semanas tras un ataque entre cadenas de 300 millones de dólares que amenazó las reservas de efectivo del protocolo, según anunciaron los desarrolladores el 1 de junio.

Aave afirmó en su análisis posterior al incidente que, al movilizar un fondo de rescate de 300 millones de dólares para todo el sector y obtener una orden judicial federal de emergencia, pudo reemplazar los activos agotados, proteger a los depositantes de las pérdidas y restablecer las operaciones normales de préstamo y endeudamiento en todo el protocolo.

La publicación del análisis posterior se produjo más de un mes después de que un atacante explotara un puente de terceros operado por Kelp y Layerzero. Mediante la fabricación de mensajes entre cadenas, el hacker acuñó 116 500 tokens rsETH falsificados y los depositó en la plataforma V3 de Aave como garantía.

El atacante utilizó inmediatamente los rsETH falsos como garantía para desviar activos de alta liquidez, pidiendo prestados 82 650 wrapped ethereum (WETH) y 821 wrapped staked ethereum (wstETH). La repentina retirada masiva debilitó estructuralmente los principales fondos de liquidez de Aave, lo que obligó a los gestores de riesgos a congelar los mercados afectados para evitar una retirada en cadena del capital de la plataforma. Para tapar el agujero, Aave Labs ayudó a movilizar una coalición de emergencia de los principales actores del sector, entre los que se encontraban Lido, Ether.fi, Ethena y Compound. Juntos, el grupo creó un fondo de recuperación de 300 millones de dólares. Esta inyección de capital respaldó de manera efectiva los activos rsETH comprometidos, garantizando que cada dólar de los depósitos de los usuarios permaneciera totalmente garantizado por reservas auténticas.

Descongelación del capital

Sin embargo, el camino hacia la restauración de la liquidez se topó con un obstáculo legal el 1 de mayo, cuando los acreedores judiciales de un caso federal no relacionado interceptaron el proceso de recuperación. Los acreedores obtuvieron una orden de restricción que congeló aproximadamente 71 millones de dólares en ethereum que se habían recuperado del atacante y que estaban destinados a reponer los fondos de Aave.

Aave respondió presentando una moción de emergencia ante un tribunal federal de EE. UU. el 4 de mayo y, cuatro días después, un juez concedió una modificación crucial de la orden de congelación, permitiendo la transferencia inmediata de los 71 millones de dólares de vuelta a la custodia directa de Aave. Este avance legal permitió a los desarrolladores redirigir instantáneamente los fondos a los fondos de préstamo activos del protocolo, restaurando la profundidad de liquidez necesaria para unas operaciones de mercado seguras. Con las reservas de capital totalmente repuestas y los parámetros de mercado previos al ataque restablecidos, Aave está revisando su arquitectura de riesgo para aislar su liquidez de futuras fallas sistémicas de terceros.

Para evitar que futuros atacantes conviertan los tokens explotados en activos líquidos del protocolo, los desarrolladores de Aave ejecutaron 295 actualizaciones de parámetros individuales, reduciendo drásticamente los límites de préstamo y oferta en 168 fondos de activos distintos. Además, el protocolo está implementando un cortacircuitos automatizado LTV0 (préstamo-valor cero). En adelante, si la infraestructura entre cadenas subyacente de cualquier activo sufre una brecha de seguridad, el sistema eliminará instantáneamente el valor de garantía de ese activo. Esto garantiza que los tokens comprometidos ya no puedan utilizarse para pedir préstamos o drenar liquidez auténtica de los mercados de Aave.