Aave ha publicado un informe oficial sobre el exploit de $230 millones en rsETH de abril — el ataque DeFi más costoso de 2026 — y lo está utilizando para justificar una revisión completa de cómo evalúa el riesgo de colateral. El ataque no se originó en los propios contratos inteligentes de Aave, que funcionaron como se diseñaron, sino en una falla de verificación del puente LayerZero que permitió a un único verificador comprometido aprobar un mensaje cruzado forjado, acuñando 116,500 rsETH no respaldados en Ethereum. Esos tokens se depositaron en Aave como colateral y se utilizaron para drenar préstamos que el protocolo no pudo recuperar.
De ahora en adelante, Aave dice que las evaluaciones de colateral se extenderán más allá de la tradicional tríada de volatilidad, liquidez y auditorías de contratos inteligentes para incluir infraestructura de puentes, dependencias de oráculos, arreglos de custodia, contratos de terceros y prácticas de seguridad operativa. El protocolo también está desarrollando defensas automatizadas que pueden reducir instantáneamente la relación préstamo-valor de un activo colateral a cero una vez que se superen los umbrales de riesgo predefinidos — cortando el poder de endeudamiento antes de que las pérdidas puedan acumularse.
Desde el exploit, los gerentes de riesgo de Aave ya han ejecutado aproximadamente 295 cambios de parámetros en los mercados de V3, incluyendo 168 reducciones en el límite de suministro y 66 reducciones en el límite de préstamo. LayerZero ha reconocido por separado que "cometió un error" al permitir que su sistema de verificación operara en una configuración de uno a uno para activos de alto valor. El informe postmortem de Aave enmarca el incidente como una advertencia estructural para todo el sector DeFi: a medida que los protocolos se vuelven más interconectados, los activos de infraestructura de los que dependen son ahora tan críticos como los propios activos.
CoinTelegraph
TheBlock