Reporte de Desastre Compatible de Aave: Resumen de Discrepancias con CoW Swap, 34 Millones en MEV Permanece como Misterio

El 15 de marzo, Aave y CoW Swap publicaron informes de análisis posterior sobre el desastre de interoperabilidad de la semana pasada. Ambos informes presentan posiciones completamente opuestas en cuanto a la atribución de responsabilidades, los puntos clave y la gravedad del problema. La causa por la cual el MEV se llevó 34 millones de dólares sigue siendo un misterio. Como medida, Aave anunció el lanzamiento de la función “Aave Shield”, que por defecto interceptará transacciones de intercambio con un impacto en el precio superior al 25%.

Resumen del evento: caída de 50,4 millones de dólares en un pool de liquidez de 7,000 dólares

(Fuente: Aave X)

Según el informe de análisis posterior de Aave, la ruta de las transacciones ejecutadas por el solucionador de CoW Swap fue la siguiente: el usuario intercambió aEthUSDT en Aave V3 por USDT, luego cambió a WETH a través del pool de Uniswap V3, y finalmente dirigió la transacción al pool AAVE/WETH en SushiSwap, cuyo total de liquidez era solo aproximadamente 7,000 dólares.

Aave enfatiza que el plugin de intercambio mostró una advertencia de “gran impacto en el precio (99.9%)” antes de la transacción y solicitó a los usuarios marcar una casilla para confirmar que aceptaban la posible pérdida total. Los registros de auditoría interna confirman que el usuario confirmó manualmente esta advertencia en un dispositivo móvil. Aave indica que los fondos retenidos aún están en custodia, pero el usuario involucrado no ha contactado a ninguna parte de forma proactiva.

Diferencias principales entre los dos informes: ¿quién cuenta la historia más completa?

Posición de Aave: atribuye principalmente las pérdidas a un “mercado con poca liquidez” y distingue desde el aspecto técnico entre “impacto en el precio” y “deslizamiento”, destacando que el usuario confirmó manualmente la transacción tras recibir la advertencia completa.

Posición de CoW Swap: presenta un escenario de fallo sistémico más complejo, señalando claramente una serie de fallos acumulados:

• Órdenes grandes en mercados con poca liquidez: ejecución forzada de órdenes Fill-or-Kill de tamaño excesivo en pares de trading extremadamente delgados.

• Limitaciones en el código legado: el sistema de validación de precios impuso un límite rígido de 1.2 millones de gas, considerado código heredado de un modo de consumo de gas anterior, lo que impidió la validación de varias rutas de transacción con mejores precios debido a que superaban ese límite. CoW afirma que ya ha corregido este problema.

• Fracaso doble del solucionador óptimo: un solucionador llamado “Solver E” encontró rutas más favorables y ganó dos veces en la subasta, pero en ambas ocasiones no envió transacciones en la cadena (no se observaron reversiones en la cadena). Posteriormente, abandonó la competencia, dejando solo un solucionador subóptimo con resultados en deterioro continuo.

• Sospecha de fuga en la memoria del pool: aunque las transacciones se enviaron mediante RPC privado, Etherscan muestra una etiqueta de “confirmación en 30 segundos”, que solo aparece cuando la transacción entra en el pool público, sugiriendo posible fuga y actividades de arbitraje posterior en el bloque.

CoW en su informe admite: “La precisión técnica no debe ser nuestro único objetivo. Cuando el riesgo alcanza los 50 millones de dólares, marcar la casilla de confirmación se convierte en un arma contundente.”

El problema del MEV: las mayores cegueras en ambos informes

Ambos informes de análisis posterior no detallan la situación de los bots de MEV que obtuvieron beneficios directos de esta transacción, un aspecto que está directamente relacionado con la intención original de la integración de CoW Swap: cuando Aave y CoW Swap expandan su colaboración en diciembre de 2025, el valor principal de la asociación será “proporcionar protección contra MEV mediante ejecución resistente a MEV, ataques front-running y sandwich attacks”.

Según el análisis en cadena de Arkham Intelligence, el constructor de bloques Titan Builder extrajo aproximadamente 34 millones de dólares en ETH de esta transacción, y un bot de MEV obtuvo unas ganancias de aproximadamente 9.9 millones de dólares mediante un ataque sandwich. El informe de CoW solo menciona “actividad de reversiones significativa” y lista las cinco direcciones que más ETH recibieron en el bloque, pero no usa el término “sandwich attack” ni detalla el mecanismo específico de MEV.

Cabe destacar que el fundador de Aave, Kulechov, afirmó el día del incidente (12 de marzo) que intentaría devolver “unos 600,000 dólares en costos”, pero el análisis posterior ajustó el costo real de la swap a 110,368 dólares (basado en los 25 puntos básicos verificables en los metadatos de CoW Swap), calificándolo como una “estimación preliminar”. La cuestión de la atribución de estos costos—si ingresaron en el tesoro de Aave DAO o en una dirección privada controlada por Aave Labs—es un núcleo de la disputa de gobernanza que ha estado en ebullición en el protocolo desde diciembre pasado.

Además, dos días antes del desastre de intercambio, Aave sufrió otro incidente causado por una configuración incorrecta del oráculo: 26 millones de dólares en wstETH de 34 cuentas fueron liquidaciones injustas.

Preguntas frecuentes

¿Cómo protegerá Aave Shield a los usuarios de pérdidas similares?

Aave Shield es una nueva función de seguridad lanzada en respuesta al incidente, que por defecto interceptará cualquier transacción de intercambio con impacto en el precio superior al 25%, en lugar de solo mostrar una advertencia. Si los usuarios desean continuar con transacciones de alto impacto, deben activar manualmente esta protección en la configuración, desactivando la opción predeterminada. Esto introduce una fricción mayor que la simple confirmación con casilla, con el objetivo de reducir la probabilidad de confirmar inadvertidamente transacciones con pérdidas extremas.

¿CoW Swap violó su promesa de protección contra MEV en este incidente?

Es una de las mayores controversias en la comunidad. Uno de los principales atractivos de la integración de CoW Swap es la “ejecución resistente a MEV”, pero según datos en cadena, en esta transacción se extrajeron más de 40 millones de dólares en valor relacionados con actividades de MEV. El informe de CoW reconoce la posible fuga en la memoria del pool y señala que “la investigación aún está en curso”, pero no responde directamente si la promesa de protección contra MEV no se cumplió en la práctica.

¿Qué significa este incidente para la futura colaboración entre Aave y CoW Swap?

Las diferencias notables en el tono de los dos informes reflejan distintas narrativas sobre la responsabilidad. La postura de CoW es más autocrítica, mientras que Aave enfatiza que los usuarios fueron advertidos. Además, este evento reaviva las disputas internas en el protocolo Aave sobre la atribución de costos y la transparencia en gobernanza. Queda por ver si se ajustarán los términos de futuras colaboraciones tras este incidente.