El protocolo de préstamos descentralizados Aave ha logrado resistir la mayor retirada de depósitos que se recuerda en las finanzas descentralizadas (DeFi). En apenas 48 horas, la plataforma vio salir 8.450 millones de dólares en valor bloqueado (TVL), un terremoto que puso a prueba su arquitectura tras un grave exploit externo. El fundador, Stani Kulechov, defendió la resiliencia del protocolo en la conferencia Proof of Talk de París y detalló las medidas de emergencia que evitaron el colapso.
Una corrida de 8.450 millones sin colapso del sistema
El episodio comenzó en abril de 2026, cuando se explotó una vulnerabilidad en un puente vinculado a KelpDAO, una infraestructura que usaba la tecnología LayerZero para mover activos entre cadenas. Los atacantes depositaron colateral sin valor real a través de ese puente y, al verlo aceptado por Aave sin verificar su respaldo on‑chain, pidieron préstamos en ether envuelto (wETH) y otros tokens. El agujero directo se estimó en unos 292 millones de dólares, pero la psicología del mercado multiplicó el pánico. En dos días, los usuarios retiraron fondos por un total equivalente a 8.450 millones, llevándose consigo casi un tercio de la liquidez que sostenía el protocolo.
A pesar de la hemorragia, Aave no congeló los retiros ni bloqueó cuentas. Las liquidaciones siguieron ejecutándose según las reglas programadas y los contratos inteligentes nunca dejaron de funcionar. Sin embargo, el ataque dejó una deuda incobrable (bad debt) de aproximadamente 123,7 millones de dólares en la versión V3 del protocolo, según cálculos de la firma de análisis LlamaRisk. El dinero no desapareció por un fallo del código de Aave, sino porque los atacantes lograron utilizar un colateral que, en la práctica, no valía nada.
El suceso agitó un debate que lleva años abierto en la comunidad Ethereum: hasta qué punto los protocolos DeFi pueden librarse de la fragilidad de las piezas externas —puentes, oráculos, otras aplicaciones— y si es realista aspirar a una seguridad total.
La respuesta de emergencia: 300 millones de dólares y 25.000 ETH del DAO
Para estabilizar la confianza y cubrir el agujero de deuda incobrable, la comunidad de Aave activó un respaldo de emergencia que alcanzó los 300 millones de dólares. La organización autónoma descentralizada (DAO) que gobierna el protocolo aprobó destinar 25.000 ethers (unos 125 millones al precio de entonces) de sus reservas. A esa cantidad se sumó una contribución personal de 5.000 ETH por parte de Kulechov, algo excepcional en un sector donde los fundadores no suelen poner su propio capital cuando las cosas se tuercen. La recuperación exigió un rescate que recordó más a la actuación de un banco central que al ideal descentralizado, pero fue lo que mantuvo a Aave a flote.
Kulechov insistió en París en que la infraestructura central del protocolo había demostrado su solidez a lo largo de varios ciclos de mercado y que el problema tuvo su raíz en componentes ajenos. Aave no se rompió: fue atacado a través de una puerta de servicio externa. La distinción es fina pero crucial, porque si los contratos base hubieran fallado la recuperación habría sido inviable.
Mientras se ejecutaban los reembolsos, el foco ya estaba puesto en la próxima evolución del protocolo. Aave está desarrollando su actualización V4, que abandonará la arquitectura de fondos comunes por un modelo modular de centro y radios (hub-and-spoke). La idea es poder aplicar controles de riesgo localizados, cobrar primas por colateral de mayor peligro y aislar activos problemáticos antes de que el contagio se propague. Una lección directa del susto de abril.
Aave resistió una corrida de 8.450 millones sin quebrar, pero el rescate de 300 millones de su DAO y fundador deja una pregunta incómoda sobre la descentralización real.
¿Qué dice este episodio sobre la madurez real de las DeFi?
La resistencia de Aave tiene dos lecturas. La primera es que, técnicamente, un protocolo DeFi puede capear una corrida de depósitos de 8.450 millones sin congelar los fondos ni quebrar. Ninguna entidad tradicional habría salido indemne sin un rescate público. La segunda es que, para conseguirlo, hizo falta un rescate privado de 300 millones y la intervención directa del fundador. En otras palabras, Aave superó la prueba de estrés, pero a costa de desdibujar la línea que separa las finanzas descentralizadas de la red de seguridad centralizada que tanto critican.
El episodio deja al descubierto varias fragilidades estructurales del ecosistema: los seguros DeFi apenas cubren una fracción de este tipo de eventos, la interconexión entre protocolos magnifica el riesgo de contagio y la gestión de crisis recae sobre las DAO sin mecanismos claros de responsabilidad. A diferencia de los bancos tradicionales, donde los depósitos de los clientes están asegurados por el Estado hasta cierto límite, en las DeFi los usuarios asumen todo el riesgo sin red de protección pública. La única garantía fue la voluntad de la comunidad de poner dinero fresco.
Lo que viene ahora es un esfuerzo consciente por blindar la próxima versión del código. La transición a V4, si se ejecuta como está previsto, intentará resolver de raíz el problema de los colaterales tóxicos y aislar riesgos desde su origen. Pero, como ocurre con cada gran salto de Ethereum, el éxito no solo depende de las líneas de código, sino de la confianza que vuelva a construir la comunidad. Por ahora, Aave sigue en pie y tiene una lección de resiliencia que contar.
