La comunidad cripto ha puesto la mirada en una situación bastante rocambolesca dentro de AAVE. Todo empezó cuando Stani Kulechov, fundador del protocolo, informó de un evento tan extraño como costoso: un trader DeFi utilizó AAVE para comprar tokens $AAVE por valor de 50 millones de dólares en USDT.
El resultado final fue sorprendente: el trader terminó con poco menos de 36.000 dólares en su monedero. El resto del dinero prácticamente se evaporó. Y no, no fue un hackeo. Según el propio Kulechov, todo ocurrió exactamente como el sistema estaba diseñado para funcionar.
50 millones de dólares que desaparecen con un clic
Todo comenzó con un trader DeFi que tenía un objetivo claro: tomar sus 50 millones de dólares en USDT y convertirlos en tokens $AAVE. Para hacerlo decidió ir a lo que parecía la opción más segura: AAVE, el propio hogar del token que quería comprar.
Sobre el papel, la decisión tenía sentido. AAVE es uno de los protocolos DeFi más grandes del ecosistema, con un TVL enorme y pools de liquidez profundos capaces de absorber operaciones de gran tamaño sin demasiados problemas. Además, la operativa del protocolo está actualmente impulsada por CoW Protocol, un sistema diseñado precisamente para optimizar ejecuciones y minimizar problemas como el slippage o el MEV. Hasta ese momento, nada parecía fuera de lo normal.

Nuestro trader va, abre AAVE, conecta su monedero y realiza la operación con una advertencia, su operación es muy alta y puede tener un «alto slippeage». El trader acepta y se empieza a procesar la transacción 0x9fa9feab3c1989a33424728c23e6de07a40a26a98ff7ff5139f3492ce430801f.
Cuando la operación termina, sus 50 millones en USDT se han convertido en poco más de 36 mil dólares. Así es, como 50 millones de USDT desaparecen en un clic.
Binance demanda a The Wall Street Journal por un reportaje sobre supuestos vínculos con Irán
Una grave falla de AAVE
Ante el evento, Stani Kulechov sale a hablar de lo sucedido. En primer lugar, destaca que ante este tipo de eventos, AAVE suele indicarle a los traders que esto puede llevar a fuertes slippeage o deslizamiento de precios, y que se requiere confirmación adicional para la operación. Algo que nuestro trader acepto.
Kulechov, agrega que una vez aceptada y realizada la operación, todo quedo en manos de CoW Protocol. El problema aquí es ¿Cómo enrutas una operación de cambio de 50 millones de USDT para que el usuario termine con poco más de 36 mil USDT? No solo eso, ¿Cómo es que AAVE termina con 600 mil dólares en comisiones mientras el trader pierde el 99 por cierto de su riqueza por un clic?
Kulechov no habla sobre ello, solo indica en su post de X, que trataran de contactar con el trader para devolverle los 600 mil dólares en comisiones, y que investigarán medidas de seguridad para evitar que esto vuelva a suceder.
Un problema de implementación
Esto claramente es un bug de implementación, y para demostrarlo, veamos la explicación de @mgrabina, ingeniero de AAVE. Martin explica que la operación en cuestión se realizó con un slippeage de 1,21%, lo que significa que nuestro trader a lo mucho, perdería unos 50 mil dólares por su operación, sin contar comisiones.
Pero la realidad es que ha perdido todo. Martin intenta decirnos que todo ha sido transparente, que se puede revisar en el explorador de bloques de CoW Protocol, y es cierto, salvo por una cosa: en el explorador solo puede ver operaciones ya realizadas, no operaciones futuras.

En la interfaz de AAVE, por otro lado, puedes ver el swap al completo, con lo que estás cambiando y lo que recibirás. Y aquí es donde está el fallo real: si AAVE como espacio de cambio, ve una perdida de valor en dicha operación (provocada por slippeage o por una mala tasa de cambio) ¿Por qué no evita la operación?
JP Morgan acusado de facilitar un esquema Ponzi de $328 millones en cripto
Es fácil, si en una operación de cambio estás perdiendo más valor del slippeage que has aceptado, entonces dicha operación no debe hacerse. Obliga a reconfigurar esos valores (lo que obviamente te pondrá en alerta) y dará margen para evitar estos problemas. Pues nada de eso ha pasado, de allí que Stani hable de «medidas de seguridad que eviten esto».
Si tu protocolo acepta cosas como indicaciones de slippeage, y con todo eso hace el cambio fuera de esos valores, no puedes culpar al usuario por «darle clic a una casilla», y mucho menos celebrar diciendo «que todo se dio como estaba planeado».
La plaga de los MEV Bots
En todo esto, los grandes ganadores han sido los MEV Bots, quienes se han encargado de manipular la transacción del trader para quedarse todo el dinero para ellos. Pero no solo los MEV, es que incluso un builder (un constructor de bloques de Ethereum) ha salido con una cuantiosa ganancia por esto.
Tobal Garcia (@tobalgarcia_) de Sky, explica que paso exactamente en el proceso de transacción y quienes son los grandes ganadores en todo esto. En primer lugar, el builder Titan, bien conocido en la comunidad Ethereum, se ha llevado más de 33 millones de dólares de la operación. Otros dos MEV bots operando con Titan, se han llevado en conjunto 12 millones de dólares, los proveedores de liquidez se han quedado con 2,9 millones, LIDO, quien actuó como proponente del bloque, se ha quedado con 1,2 millones de dólares, CoW/AAVE se quedaron con 600 mil en comisiones y el resto es lo que recibió el usuario: 36,2 mil dólares.
Como se puede ver en la cadena no hay nombres pequeños. Titan es uno de los mayores constructores de bloques (como un minero) de la red Ethereum. LIDO es la mayor plataformas de staking de la red, y tiene un enorme peso a la hora de proponer bloques, que dicho sea de paso, muchos son construidos por Titan. Es clara la confabulación de estos actores para lo que ha pasado con este trader, y lo que ha pasado con muchos otros durante años, desde que Ethereum se convirtió en una red staking, aunque durante su tiempo de Proof of Work, también tenía dicho problema, con menor impacto.

