La plataforma de préstamos descentralizada Aave sufrió una liquidación anómala rara en la madrugada del 11 de marzo. No fue por una caída del mercado ni por un ataque externo, sino por una descoordinación en la configuración de parámetros del módulo interno de protección contra manipulación CAPO, lo que provocó una subestimación sistemática del valor de wstETH en un 2.85%. Esto llevó a la liquidación forzada de 34 cuentas, aproximadamente 10,938 wstETH en total. Lido también respondió al evento de liquidación de Aave, indicando que fue causado por un error en el precio del oráculo y que no tiene relación con su protocolo.
(Resumen previo: Fundador de Aave: DeFi enfrentará un mercado de energía solar de 200 billones, robots y financiamiento espacial, con un tamaño 15 veces mayor que los 10 principales bancos del mundo)
(Información adicional: Fundador de la organización ecológica de Aave: Aave Labs ha invertido 86 millones de dólares en ocho años, con seis productos que fracasaron por completo)
En la madrugada del 11 de marzo, Aave experimentó una liquidación anómala poco común. Sin una caída del mercado ni ataque externo, posiciones de préstamo por aproximadamente 27 millones de dólares fueron forzadamente cerradas en pocas horas, afectando a 34 cuentas y a unos 10,938 wstETH en la cadena, que fueron “recogidos” por robots de liquidación en la cadena.
Fuente: Datos de liquidación de CHAOS LABS
El socio de gestión de riesgos de Aave, Chaos Labs, fue el primero en responder en X, afirmando claramente: “No hubo morosidad, todos los usuarios afectados serán compensados en su totalidad.” Posteriormente, Stani Kulechov, fundador de Aave Labs, también publicó en X: “El protocolo Aave en sí no fue afectado.”
A diferencia de la mayoría de los eventos de liquidación, en esta ocasión no hubo caída del mercado, ni ataque externo, ni distorsión en las fuentes de datos del precio. En el informe post-mortem publicado en el foro de gobernanza, Chaos Labs aclaró la verdad.
El precio del oráculo subyacente era completamente preciso; el verdadero culpable fue un módulo interno de seguridad llamado CAPO (Capped Asset Price Oracle). Es un mecanismo diseñado para prevenir manipulaciones de precios, pero en esta ocasión, actuó como “guardian” y, sin querer, se convirtió en el desencadenante de la liquidación de los usuarios.
Al manejar tokens de rendimiento como wstETH, que acumulan intereses de staking continuamente, Aave estableció un límite en la tasa de aumento del precio para evitar que alguien manipulara artificialmente el valor del colateral.
CAPO depende de dos parámetros que trabajan en conjunto: snapshotRatio (tasa de instantánea, restringida en la cadena, con un aumento máximo del 3% cada 3 días) y snapshotTimestamp (marca de tiempo de la instantánea, sin restricción de velocidad). Ambos deberían actualizarse sincronizadamente; si se desincronizan, el cálculo del “máximo valor permitido” se desvía del precio real de mercado.
Esto fue exactamente lo que ocurrió en esta ocasión. El sistema intentó actualizar la tasa de instantánea de aproximadamente 1.1572 a 1.2282, pero debido a la restricción de velocidad solo pudo avanzar hasta 1.1919; al mismo tiempo, la marca de tiempo saltó directamente al punto de referencia de hace 7 días, sin obstáculos.
La desincronización de estos dos parámetros llevó a que CAPO calculase un valor máximo permitido para wstETH de aproximadamente 1.1939, un 2.85% por debajo del precio real de mercado.
Fuente: Foro de gobernanza de Chaos Labs, Post-Mortem
En posiciones normales, una desviación del 2.85% puede parecer insignificante; pero en el modo E-Mode (modo de alta eficiencia) de Aave, los usuarios pueden tomar préstamos con apalancamientos mucho mayores, haciendo que sus posiciones sean extremadamente sensibles a las desviaciones de precio.
La subestimación sistemática del valor de wstETH llevó a que varias posiciones que estaban por encima del umbral de seguridad cruzaran la línea de liquidación, y los robots en la cadena completaron el resto.
Desde la perspectiva de beneficios, los liquidadores obtuvieron aproximadamente 116 ETH en recompensas normales, además de unos 382 ETH en ganancias por arbitraje debido a la diferencia entre la valoración subestimada por el protocolo y el precio real del mercado.
En total, aproximadamente 499 ETH (equivalente a unos 1.27 millones de dólares) salieron de las posiciones de los usuarios afectados. El resultado a nivel del protocolo fue limpio: sin morosidad, sin pérdida en el fondo de liquidez, y solo 34 direcciones de usuarios liquidado sufrieron pérdidas.
Lo más directo en el incidente fue el equipo de gestión de riesgos, Chaos Labs. Omer Goldberg, CEO, afirmó claramente en X: “Todos los usuarios afectados serán compensados en su totalidad.” También admitió que el error en el oráculo de precios, una infraestructura fundamental del protocolo, fue una lección grave, y que el equipo revisará exhaustivamente el proceso de actualización de parámetros.
Fuente: Tuit de Omer Goldberg
En cuanto a la compensación, Chaos Labs ya recuperó aproximadamente 141.5 ETH a través de BuilderNet, y con fondos adicionales del tesoro de Aave DAO, se estima que la compensación total alcanzará unos 345 ETH (unos 870,000 dólares), para cubrir todas las cuentas afectadas.
Durante la fase de respuesta de emergencia, el equipo redujo temporalmente el límite de préstamo de wstETH para las posiciones afectadas (Core y Prime) a 1, y mediante el mecanismo Risk Steward, reajustó manualmente los parámetros de instantánea para corregir la desincronización. Tras completar la reparación, se restauraron los límites originales (Core: 180,000, Prime: 70,000).
Este no es el primer caso en que un problema en el oráculo sacude el mundo DeFi. Hace poco, el 18 de febrero, el protocolo de préstamos Moonwell, debido a un error en la configuración del oráculo, valoró temporalmente cbETH en aproximadamente 1 dólar (el precio de mercado era alrededor de 2200 dólares), causando casi 1.8 millones de dólares en morosidad. Eventos anteriores como la manipulación en Mango Markets y vulnerabilidades en Euler Finance también dejaron lecciones por cientos de millones de dólares.
Pero la particularidad de este incidente en Aave radica en que la causa no fue un dato externo, sino la capa de seguridad interna diseñada para prevenir manipulaciones. Esa “escudo” se convirtió en una espada que hirió en ciertas condiciones.
“Code is Law” (El código es la ley) es el credo de las finanzas descentralizadas; los contratos inteligentes automatizan la ejecución, eliminando la intervención humana, pero también significan que cualquier desajuste en los parámetros puede desencadenar operaciones irreversibles sin que los usuarios se den cuenta.
El compromiso de Chaos Labs de compensar puede reparar la fractura en el plano económico, pero la reparación más profunda debe ocurrir en el nivel técnico: validación en las actualizaciones de parámetros, verificaciones de coherencia en las restricciones en la cadena, y un sistema de monitoreo en tiempo real que emita alertas antes de que ocurran errores.
