Una ballena intercambió de una sola vez 50,43 millones de dólares en USDT por tokens AAVE a través de Aave, pero debido a una caída extrema en el precio, solo recibió 324 tokens AAVE (aproximadamente 36,000 dólares), casi perdiendo toda su inversión, aunque todas las protecciones funcionaron normalmente.
(Resumen previo: ¡Desastre! Una ballena perdió 50 millones de dólares en Aave al cambiar monedas por “caída extrema en el precio”)
(Información adicional: Análisis del mecanismo de liquidación en DeFi: Riesgos en Compound, Maker, AAVE)
Índice de este artículo
Toggle
- Análisis de una transacción
- La dura matemática de la liquidez
- ¿A dónde fue a parar la diferencia pagada de más?
- Tres capas de protección
- Disculpa de 600,000 dólares
- El costo de madurar en DeFi
- DeFi está en la misma curva histórica
50,432,688 USD: Es la cantidad invertida en una transacción por una cartera anónima el 12 de marzo.
36,297 USD: Es lo que realmente recibió.
Proporción de pérdida: 99.93%. En menos de un minuto, activos criptográficos por valor de 50 millones de dólares se convirtieron en el precio de un coche usado.
No fue un ataque de hackers, no hubo vulnerabilidad en contratos inteligentes, no fue un ataque de flash loan, ni robo de claves privadas.
Todos los protocolos involucrados en esta transacción: Aave, CoW Protocol, Uniswap, afirmaron posteriormente que el sistema “funcionó según lo diseñado y de manera normal”.
Una transacción con una pérdida del 99.93%, en la que cada eslabón funcionó correctamente. Ahí está lo más interesante de esta historia.
Análisis de una transacción
Para entender por qué ocurrió esto, desglosamos cada capa de la operación.
Esta cartera (dirección 0x98B9D979…1FBF97Ac8) posee una gran cantidad de aEthUSDT: un token de interés generado automáticamente tras depositar USDT en el protocolo Aave, representando la posición de depósito en USDT en Aave. Tener aEthUSDT equivale a prestar USDT en Aave y ganar intereses.
El usuario quería hacer algo simple: cambiar su depósito en USDT por un depósito en tokens AAVE (aEthAAVE). En términos sencillos, cambiar un colateral por otro.
La interfaz de Aave ofrece una función de “Intercambio de colaterales” (Collateral Swap), que permite realizar esta operación con un solo clic, sin retirar fondos, sin ir a un exchange, y volver a depositar. Suena muy conveniente.
El problema está en lo que sucede detrás de ese “un clic”.
Al confirmar, la transacción se enruta a CoW Protocol (el sistema de enrutamiento descentralizado que Aave integró a finales de 2025). El solver de CoW Protocol toma el control y realiza los siguientes pasos:
Primero, rescata 50,43 millones de aEthUSDT a través del contrato de Aave V3, obteniendo 50,43 millones de USDT.
Segundo, envía estos USDT a la piscina de Uniswap V3 USDT/WETH para cambiar por 17,958 WETH.
Tercero, intercambia WETH por tokens AAVE.
Cuarto, deposita los tokens AAVE en Aave V3, creando aEthAAVE y devolviéndolos al usuario.
Todo parece lógico. Pero al final, el usuario recibe solo 327.24 aEthAAVE.
Con el precio de AAVE en ese momento, aproximadamente 111 USD, esos 327 tokens valen unos 36,297 USD.
De 50 millones a 36 mil dólares.
La dura matemática de la liquidez
El monto es tan grande que la primera reacción de muchos al leer esta noticia fue pensar: esto debe ser un bug, un ataque de phishing, alguna vulnerabilidad en el contrato, o un exploit de flash loan; pero no fue así.
El total de tokens AAVE en circulación es aproximadamente 15.3 millones, con una capitalización de mercado de unos 1,6 mil millones de dólares. Antes del incidente, en los principales exchanges descentralizados, el volumen diario de AAVE rondaba los 273 millones de dólares.
Ahora, un actor quería comprar 50 millones de dólares en AAVE en una sola operación.
En términos simples, quería adquirir en una sola transacción el 3% de la oferta circulante de AAVE.
Es como entrar a un mercado de acciones con un volumen diario de 270 millones y poner una orden de mercado de 50 millones. En finanzas tradicionales, esto sería detenido por los sistemas de control de riesgos de los brokers, con mecanismos de límite de caída y spread razonable.
Pero en DeFi, no existen esas protecciones.
La liquidez en exchanges descentralizados la proveen los “Automated Market Makers” (AMM). La fórmula de precios más común es la constante de producto: x × y = k. Esto significa que cuanto mayor sea la cantidad comprada, más se desliza el precio. La relación no es lineal, sino exponencial.
Cuando esta orden de 50 millones de dólares impacta en la piscina de Uniswap, su efecto es mucho mayor que la capacidad de la piscina para absorberlo. El costo marginal de cada token AAVE se dispara rápidamente. Al llegar a las últimas unidades, el precio por token puede ser varias centenas de veces superior al mercado.
El resultado: solo se obtuvieron 327 tokens AAVE por 50 millones de dólares.
¿A dónde fue a parar la diferencia pagada de más?
A las carteras de los bots de arbitraje.
En el ecosistema de Ethereum, existen bots especializados en detectar estas discrepancias de precios. Monitorean en tiempo real transacciones grandes y, en milisegundos, ejecutan arbitraje: compran antes de que la orden se complete, elevan el precio, y luego venden para obtener la diferencia.
Este proceso se conoce como “ataque en sándwich”. En esta operación, los bots se han comido casi 50 millones de dólares en ganancias.
Curiosamente, el diseño inicial de CoW Protocol pretendía proteger a los usuarios de estos ataques MEV.
Tres capas de protección
Lo más inquietante de esta historia no es la cantidad perdida, sino que todos los mecanismos de seguridad funcionaron “como debían”.
Primera capa: protección contra MEV de CoW Protocol.
CoW Protocol es uno de los sistemas de enrutamiento más avanzados en DeFi. En lugar de enviar tu orden directamente a una piscina, agrupa varias órdenes de diferentes usuarios en un batch, y un solver profesional busca la mejor ruta de ejecución.
En teoría, este sistema puede:
-
Ocultar la intención de la transacción mediante subastas en batch, evitando que los bots MEV la detecten por adelantado.
-
Utilizar un precio de liquidación unificado, eliminando la posibilidad de arbitraje por ordenamiento.
-
Facilitar la coincidencia de demandas entre usuarios, evitando completamente las piscinas on-chain.
Pero ante una orden de 50 millones de dólares, estos mecanismos fallan. Porque no hay otra orden de usuario que quiera intercambiar la misma cantidad en ese momento. La subasta en batch no puede cambiar un hecho fundamental: la piscina no tiene suficiente liquidez.
El comunicado posterior de CoW Swap fue breve: “La transacción se ejecutó según los parámetros firmados. … El sistema proporcionó advertencias claras sobre el impacto en el precio.”
Declaración de CoW Protocol:
Hoy, un trader intentó intercambiar 50 millones de aEthUSDT por aEthAAVE a través de la interfaz de Aave, que usa CoW Protocol. A pesar de las advertencias claras de que perdería casi todo el valor de su transacción, y a pesar de… https://t.co/Pav4udXUkX
— CoW DAO (@CoWSwap) 13 de marzo de 2026
Segunda capa: advertencias de slippage en la interfaz de Aave.
Stani Kulechov, fundador de Aave, explicó un detalle clave: cuando el usuario inició la operación en la interfaz de Aave, apareció una advertencia de “slippage” (deslizamiento) anómala. El usuario tuvo que marcar manualmente una casilla de confirmación, aceptando explícitamente el riesgo, para continuar.
Según Kulechov, el usuario completó esa confirmación en un dispositivo móvil.
Una casilla, 50 millones de dólares, en una pantalla de teléfono.
Luego, un ingeniero de Aave reveló más detalles: antes de que el usuario confirmara, el sistema mostraba que con 50 millones de USDT solo se podrían obtener menos de 140 tokens AAVE (antes de comisiones). Es decir, el sistema no solo advertía de un gran slippage, sino que mostraba claramente que se perdería más del 99%.
Pero el enorme inversor vio ese número y pulsó “confirmar”.
Tercera capa: juicio propio del usuario.
En finanzas tradicionales, si un cliente quiere hacer una operación de 50 millones de dólares con una pérdida prevista del 99%, su corredor llamaría por teléfono, el departamento de riesgos intervendría, y se requeriría autorización por escrito. El proceso podría tardar días.
En DeFi, todo esto se reduce a marcar una casilla y hacer un clic.
Nadie sabe quién es ese usuario. Nadie sabe por qué, tras ver una pérdida del 99%, pulsó confirmar. ¿Se equivocó? ¿Se deslizó el dedo? ¿Fue un error en la pantalla del móvil? ¿O hay alguna otra razón desconocida? Sospecho que quizás estaba borracho o drogado.
Pero lo que sí es seguro: en el mundo descentralizado, “confirmar” es irreversible. No hay T+1, no hay cancelar, no hay línea de atención al cliente.
En ese momento, la transacción queda grabada en la blockchain para siempre.
Disculpa de 600,000 dólares
Tras el incidente, en las 24 horas siguientes, Kulechov, fundador de Aave, anunció que la plataforma devolvería aproximadamente 600,000 dólares en tarifas cobradas en esa operación.
Hoy, un usuario intentó comprar AAVE con 50 millones de USDT a través de la interfaz de Aave.
Debido al tamaño extraordinario de la orden, la interfaz de Aave, como la mayoría, advirtió sobre un deslizamiento extremo y requirió confirmación mediante una casilla.…
— Stani.eth (@StaniKulechov) 12 de marzo de 2026
Seiscientos mil dólares. Devolverle a alguien que perdió 50 millones. Es como que en un restaurante te cobren por una cena de un millón y te regalen una botella de agua.
Pero eso es lo máximo que puede hacer Aave con los mecanismos actuales.
Porque Aave es un protocolo descentralizado, gestionado por DAO. Kulechov y Aave Labs son el equipo de desarrollo, pero legal y governance, no poseen los fondos. Para usar el tesoro del DAO y compensar al usuario, se requiere una propuesta comunitaria, votación y aprobación.
Aquí surge una pregunta más profunda: ¿quién debe ser responsable en un mundo descentralizado?
En un exchange centralizado, la respuesta es clara: la plataforma tiene la obligación de proteger a los usuarios. Si un sistema mal diseñado causa pérdidas injustas, la plataforma debe compensar. La regulación puede intervenir, los abogados pueden actuar.
Pero en el caso de Aave, la responsabilidad se dispersa en al menos cuatro niveles:
-
Aave Labs diseñó la interfaz, integró CoW Swap, y ofreció la función de intercambio de colaterales. Pero afirman que el sistema proporcionó advertencias suficientes.
-
CoW Protocol ejecutó el enrutamiento de la transacción. Pero dicen que la operación se realizó según los parámetros firmados por el usuario.
-
Los pools de liquidez de Uniswap proporcionaron los precios. Pero el funcionamiento de AMM es transparente y público.
-
El usuario mismo confirmó la operación. Y fue informado claramente del riesgo de pérdida del 99%.
Cada parte tiene su parte de razón, cada una “no hizo nada mal”, pero en conjunto, 50 millones de dólares desaparecieron.
El costo de madurar en DeFi
Este incidente nos permite reflexionar una vez más sobre el estado actual de DeFi: ¿Qué significa pagar el precio de la “madurez”?
El valor central de DeFi es eliminar intermediarios, sin bancos, sin brokers, sin reguladores. Tú y tus activos, solo con código.
Este principio ha atraído a millones en los últimos diez años. Hasta marzo de 2026, el total de activos bloqueados en DeFi alcanza cerca de 97.6 mil millones de dólares. Solo Aave gestiona más de 25.7 mil millones, con préstamos que superan el billón de dólares.
Pero “eliminar intermediarios” también significa eliminar toda protección que estos brindan.
En finanzas tradicionales, al hacer una orden grande, existen mecanismos de protección:
- La Bolsa de Nueva York tiene límites de subida y bajada, y mecanismos de suspensión automática (“circuit breakers”) cuando la volatilidad es excesiva.
- Los brokers tienen obligaciones de idoneidad: deben verificar que la operación se ajusta a tu perfil de riesgo.
- Los bancos cumplen con KYC: saben quién eres, para poder contactarte en caso de problemas.
Estas instituciones parecen burocráticas y poco Web3. Pero existen porque la historia financiera de los últimos 200 años nos enseña que las personas cometen errores, se deslizan, se confunden con las pantallas, y las emociones afectan decisiones.
DeFi tomó otro camino: devolver toda la responsabilidad al usuario. Tú decides qué comprar, cuánto, cuánto slippage aceptas. El sistema solo te advierte con una casilla de confirmación, y ejecuta fielmente tus órdenes.
En la mayoría de los casos, esto funciona bien. Pero en situaciones extremas, este diseño genera una paradoja: cuanto más “funciona según lo diseñado”, más difícil será recuperar las pérdidas.
Porque nadie “hizo mal” en realidad. Todas las pérdidas son “voluntarias” del usuario.
Esto recuerda un viejo concepto en finanzas: “el comprador asume su riesgo”. Antes de la regulación moderna, el mercado funcionaba así: el comprador asumía todos los riesgos, sin protección legal, sin acciones colectivas.
Luego, en 1929, estalló la Gran Depresión, y en 2008, la crisis financiera. Tras cada crisis, la regulación se endureció, y las protecciones se fortalecieron.
DeFi en la misma curva histórica
Aave gestiona 25.7 mil millones de dólares, con ingresos anuales por comisiones superiores a 600 millones. CoW Protocol procesa decenas de miles de millones en volumen. Ya no son experimentos, son infraestructura financiera real, que soporta riqueza tangible.
Pero sus mecanismos de protección aún se limitan a “mostrar una advertencia”.
50 millones de dólares se convirtieron en 36 mil, cada paso fue conforme, transparente y normal.
En el mundo financiero tradicional, existe una regla no escrita: proteger a los clientes de sus propias imprudencias es obligación de las instituciones. En DeFi, la regla no escrita es exactamente lo opuesto: no tomar decisiones por el usuario, es el principio de la descentralización.
Ambos mundos están destinados a chocar.
Y esta vez, el costo fue de 50 millones de dólares. Pero no digo que DeFi deba seguir el modelo bancario tradicional. Más bien, nos invita a reflexionar sobre los mecanismos de control frente a las vulnerabilidades humanas.
