Básico
Spot
Opera con criptomonedas libremente
Margen
Multiplica tus beneficios con el apalancamiento
Convertir e Inversión automática
0 Fees
Opera cualquier volumen sin tarifas ni deslizamiento
ETF
Obtén exposición a posiciones apalancadas de forma sencilla
Trading premercado
Opera nuevos tokens antes de su listado
Contrato
Accede a cientos de contratos perpetuos
TradFi
Oro
Plataforma global de activos tradicionales
Opciones
Hot
Opera con opciones estándar al estilo europeo
Cuenta unificada
Maximiza la eficacia de tu capital
Trading de prueba
Introducción al trading de futuros
Prepárate para operar con futuros
Eventos de futuros
Únete a eventos para ganar recompensas
Trading de prueba
Usa fondos virtuales para probar el trading sin asumir riesgos
Lanzamiento
CandyDrop
Acumula golosinas para ganar airdrops
Launchpool
Staking rápido, ¡gana nuevos tokens con potencial!
HODLer Airdrop
Holdea GT y consigue airdrops enormes gratis
Pre-IPOs
Accede al acceso completo a las OPV de acciones globales
Puntos Alpha
Opera activos on-chain y recibe airdrops
Puntos de futuros
Gana puntos de futuros y reclama recompensas de airdrop
Inversión
Simple Earn
Genera intereses con los tokens inactivos
Inversión automática
Invierte automáticamente de forma regular
Inversión dual
Aprovecha la volatilidad del mercado
Staking flexible
Gana recompensas con el staking flexible
Préstamo de criptomonedas
0 Fees
Usa tu cripto como garantía y pide otra en préstamo
Centro de préstamos
Centro de préstamos integral
Centro de patrimonio VIP
Planes de aumento patrimonial prémium
Gestión patrimonial privada
Asignación de activos prémium
Quant Fund
Estrategias cuantitativas de alto nivel
Staking
Haz staking de criptomonedas para ganar en productos PoS
Apalancamiento inteligente
Apalancamiento sin liquidación
Acuñación de GUSD
Acuña GUSD y gana rentabilidad de RWA
Promociones
Centro de actividades
Únete a actividades y gana recompensas
Referido
20 USDT
Invita amigos y gana por tus referidos
Programa de afiliados
Gana recompensas de comisión exclusivas
Gate Booster
Aumenta tu influencia y gana airdrops
Anuncio
Novedades de plataforma en tiempo real
Blog de Gate
Artículos del sector de las criptomonedas
AI
Gate AI
Tu compañero de IA conversacional para todo
Gate AI Bot
Usa Gate AI directamente en tu aplicación social
GateClaw
Gate Blue Lobster, listo para usar
Gate for AI Agent
Infraestructura de IA, Gate MCP, Skills y CLI
Gate Skills Hub
+10 000 habilidades
De la oficina al trading, una biblioteca de habilidades todo en uno para sacar el máximo partido a la IA
GateRouter
Elige inteligentemente entre más de 30 modelos de IA, con 0% de costos adicionales
El negocio de empeños DeFi casi se desploma por un recibo
Autor: Clow, Blockchain en lenguaje sencillo
El 18 de abril, DeFi fue sumergido.
Esta vez no fue un robo en un exchange, ni un contrato que fue vaciado directamente. Los atacantes obtuvieron un lote de tokens de garantía por valor aproximadamente 290 millones de dólares, los enviaron a Aave, un protocolo de préstamos en la cadena, y tomaron prestados activos como WETH y wstETH, que son más fáciles de convertir en efectivo.
Este lote de tokens se llama rsETH, como un “recibo de ETH”: los usuarios depositan ETH o activos relacionados en KelpDAO, reciben tokens de garantía, y en el futuro pueden cambiarlos por los activos subyacentes. Aave funciona como una especie de prenda en la cadena, donde los usuarios depositan activos como garantía y toman prestados ETH, stablecoins u otros activos.
El problema es que la bóveda detrás de este “recibo” tuvo un problema.
Es como si alguien usara un recibo de depósito caducado para pedir un préstamo en un banco. La mercancía en la bóveda no alcanza, pero el sistema bancario aún no se ha dado cuenta y sigue otorgando préstamos a precio original.
Lo más incómodo es que la ventanilla del banco no está rota, ni el proceso de préstamo está fallando. Lo que realmente se ha roto es la relación entre ese recibo y la bóveda. Lo que enfrentó Aave esta vez es un problema similar.
Si solo KelpDAO perdiera tokens, sería un incidente de seguridad en un protocolo. Pero cuando los activos de garantía defectuosos entran en Aave, la situación se convierte en una especie de prueba de corrida en un sistema de crédito DeFi.
¿Quién sale peor parado? No KelpDAO, sino las personas que tienen fondos bloqueados
El informe del incidente indica que el ataque ocurrió el 18 de abril de 2026 a las 17:35 UTC. El atacante engañó a la vía rsETH de KelpDAO que conecta Unichain con Ethereum, y liberó 116,500 rsETH.
De estos, 89,600 rsETH fueron depositados en Aave, y se tomaron prestados 82,700 WETH y 821 wstETH, por un total aproximado de 193 millones de dólares.
Aave no fue hackeado. Sus contratos no fallaron, y el sistema de precios tampoco fue atacado directamente. El problema es que el atacante usó un lote de “rsETH que todavía parecen valer algo” como garantía, y tomó prestados activos reales y valiosos del pool de Aave. WETH es el saldo de ETH que puede ser retirado del pool. Cuando se vació, los balances en las cuentas de los depositantes permanecieron, pero el WETH disponible para retirar desapareció.
El respaldo de WETH en varios mercados alcanzó en un momento el 100% de utilización, con saldos inactivos casi nulos. Para los usuarios, esto significa:
Tienes dinero, pero ahora no puedes sacarlo.
Es muy parecido a cuando un exchange suspende retiros: la sensación es la misma, solo que en la cadena es más evidente. La página no te dirá “el dinero se fue”, solo te mostrará “actualmente no hay liquidez”. Los depositantes ven su saldo, pero lo que realmente falta es la salida.
Aave luego congeló rsETH, wrsETH y varios mercados de WETH. No fue que los usuarios hicieran algo mal, sino que el sistema tuvo que cerrar primero la entrada.
Este es también el punto que muchas personas no entienden a simple vista. Aave no fue hackeado y le robaron activos directamente, pero los activos de garantía que aceptó se volvieron “sucios”. Los depositantes pensaban que solo estaban poniendo ETH en un pool de préstamos, pero en realidad, alguien con tokens de garantía defectuosos tomó activos valiosos del pool.
No fue que un cajón fuerte fue forzado, sino que el guardia fue engañado
La vía de comunicación entre cadenas de KelpDAO usa LayerZero. Un puente entre cadenas funciona como un sistema de transferencia entre dos almacenes: en Ethereum, bloquean un lote de rsETH, y en otra cadena emiten un recibo correspondiente; cuando el usuario vuelve, el sistema verifica que ese recibo ha sido destruido, y entonces libera los rsETH en Ethereum.
Cuantos más validadores verifiquen, más seguro será. Pero justo en ese momento, KelpDAO era un sistema de validación 1-de-1 DVN, con una única fuente de validación. Un solo validador aprueba, otro libera.
Los nodos RPC actúan como “ventanillas de auditoría”. Según LayerZero, los atacantes invadieron dos nodos RPC y lanzaron un DDoS contra otros RPC externos no comprometidos, forzando a la red de validación a leer datos corruptos. Como resultado, los validadores vieron un mensaje inexistente: como si en otra cadena ya se hubiera destruido suficiente rsETH para liberar fondos en Ethereum.
El contrato en Ethereum confió en esa información, y liberó 116,500 rsETH.
Cada paso en la cadena parecía una transacción normal. Firma de mensajes, verificación, proceso correcto. Solo que lo que ocurrió en realidad nunca sucedió. El código ejecutó la entrada, pero esa entrada ya estaba contaminada.
Esto es más complicado que una simple vulnerabilidad en un contrato. Una vulnerabilidad en un contrato puede señalar una línea de código equivocada; en este caso, es como si la pantalla de vigilancia fuera manipulada, y la seguridad abre la puerta sin saberlo. La puerta se abre de forma legítima, pero la persona afuera no debería haber entrado.
Por eso, lo que realmente asusta de este incidente no es que un desarrollador haya escrito mal un código, sino que muchas infraestructuras confiables en los protocolos también pueden mentir. Puentes, nodos, redes de validación, todo en el fondo, y en un momento dado, pueden alterar directamente el estado de los activos.
¿Por qué Aave aceptó los malos activos como garantía?
Lo que más preocupa en los préstamos no son las fluctuaciones de precio. La caída de precio al menos puede forzar una liquidación. El problema es que, en apariencia, los activos de garantía todavía valen algo, pero en realidad, el respaldo ha colapsado.
rsETH es originalmente un recibo de ETH, con una capa adicional de estructura. Cuando pasa a redes de capa 2 como L2, se añade otra capa de riesgo por puente. Cuando entra en Aave, lo que en teoría es eficiencia de capital, en la práctica se vuelve una caja de sorpresas.
Si solo ETH bajara de precio, Aave podría liquidar según las reglas. Pero el problema de rsETH no es solo la caída de valor, sino que “¿puede esta recibo todavía cambiarse por ETH?”. Si esa respuesta no existe, la liquidación se vuelve incómoda, porque el mercado puede no querer aceptar esa garantía.
El informe de Aave presenta dos escenarios de incumplimiento: si la pérdida la asumen todos los poseedores de rsETH, el posible bad debt sería de aproximadamente 1.237 mil millones de dólares; si solo se limita a rsETH en L2, el bad debt sería de unos 2.301 millones, principalmente en Mantle y Arbitrum.
Ambas cifras difieren mucho, pero ambas indican lo mismo: Aave no perdió por un fallo en la lógica del contrato, sino por sobreestimar la fiabilidad de esa “recibo de ETH”. Los atacantes también lo saben, y en lugar de vender rsETH rápidamente, prefieren meter tokens defectuosos en el mercado de préstamos y tomar activos valiosos.
Antes, la gente alababa la composabilidad: los activos de un protocolo podían integrarse sin problemas en otro. Pero ahora vemos el lado opuesto. Un agujero en un protocolo puede pasar sin problemas a otro.
Resumen
El informe de Aave muestra que, al 20 de abril, el tesoro de Aave DAO tiene aproximadamente 181 millones de dólares en activos. La propuesta de gobernanza del 24 de abril revela un plan de rescate: la alianza de rescate DeFi United coordinará fondos de varias partes para cubrir el déficit de respaldo de rsETH.
El plan incluye los 40,400 rsETH ya congelados en KelpDAO, 30,800 ETH congelados por el Consejo de Seguridad de Arbitrum, un límite de crédito de hasta 30,000 ETH en Mantle, y 25,000 ETH que Aave DAO debe aportar.
Circle también se ha involucrado. Es el emisor de USDC, la stablecoin que respalda, y ahora empieza a preocuparse por el mercado de préstamos. No es caridad, sino una medida de protección de toda la cadena de valor.
Esto explica por qué la ayuda llegó tan rápido. Aave no es un sitio aislado, sino un punto de paso para muchas carteras, estrategias de rendimiento, comercio de stablecoins y fondos de market making. Si ese punto se bloquea, muchos otros protocolos relacionados también sufrirán.
USDC necesita de plataformas como Aave para circular en DeFi. Si los pools se bloquean por mucho tiempo, el uso de stablecoins se verá afectado. Por eso, salvar a Aave no es solo salvar un protocolo, sino mantener abierta una vía de circulación de fondos.
La gran lección de este incidente no es si Aave va a desaparecer, sino cuántos activos que parecen ser ETH, en realidad, están respaldados por puentes, nodos RPC, validadores y configuraciones que nadie revisa a fondo.
DeFi no tiene un banco central. Pero ya cuenta con grupos de rescate temporales, votos en el tesoro, emisores de stablecoins y límites de crédito.
Y esa es la cara más realista: puede no tener un centro, pero no puede carecer de confianza. Cuanto más capas de activos se añaden, mayor eficiencia, pero también mayor responsabilidad oculta.
Esto no es solo finanzas más pura.
Los activos defectuosos son los más caros.