La confirmación de un clic más cara en la historia de DeFi: 50 millones de dólares se evaporan instantáneamente en cadena

Autor: 137Labs

El 12 de marzo, un inversor anónimo con una gran cantidad de fondos inició un intercambio de activos a través de la interfaz frontend de @aave: intentó comprar tokens de gobernanza de AAVE por aproximadamente 50,43 millones de dólares en USDT. Sin embargo, debido a un deslizamiento extremo, solo obtuvo entre 324 y 327 aEthAAVE, valorados en unos 36.000 dólares, lo que supuso una pérdida instantánea de casi 50 millones de dólares. Este incidente rápidamente se difundió en X y en los medios principales, convirtiéndose en una historia de advertencia de “humor negro” para los usuarios de DeFi. Este artículo, mediante un análisis en capas de los datos y la cadena de eventos, te mostrará el costo de una simple diferencia de clics.

Relato de los hechos: línea de tiempo y detalles clave

Primero, reconstruimos objetivamente el desarrollo completo del incidente. La falla ocurrió en el protocolo Aave V3 en la red principal de Ethereum, que es la plataforma líder mundial de préstamos en DeFi, con un TVL (valor total bloqueado) que supera los cientos de miles de millones de dólares. El usuario realizó el intercambio a través de la interfaz oficial de #Aave, usando CoW Protocol (un enrutador descentralizado de órdenes).

La línea de tiempo clave, basada en datos en la cadena y declaraciones oficiales:

• Aproximadamente a las 12:45 UTC del 12 de marzo: el usuario inicia el intercambio, ingresando USDT por valor de 50,43 millones de dólares (equivalente en aEthUSDT).
• 12:47 UTC: la interfaz detecta que el tamaño de la orden excede ampliamente la profundidad del pool, mostrando múltiples advertencias, como “orden de gran tamaño”, “riesgo de deslizamiento extremo” y “confirmación manual requerida”.
• 12:48 UTC: el usuario confirma en su móvil y continúa con la operación. La transacción se registra en la cadena, y Etherscan muestra que parte de la pérdida fue capturada por bots MEV (con una ganancia de aproximadamente 9 a 10 millones de dólares en diferencia de precio).
• Alrededor de las 13:30 UTC: Stani Kulechov publica un tuit aclarando que el protocolo y el enrutamiento de CoW funcionan normalmente, que el usuario aceptó los riesgos y que contactará al usuario para devolverle 600.000 dólares en tarifas.
• A la mañana del 13 de marzo: el incidente se difunde en Crypto Twitter y en los medios principales, con cientos de publicaciones, y el volumen de comercio de AAVE en 24 horas aumenta entre un 15% y un 20%.

Al final, solo se recibieron 327,2 AAVE (valorados en aproximadamente 111 dólares cada uno, unos 3.650 dólares en total), con una tasa de pérdida del 99,93%. Comparado con liquidaciones de 27 millones de dólares en Mango Markets en 2022 o con errores recientes en el oráculo de Aave que causaron liquidaciones por esa cantidad, este caso se atribuye únicamente a un error en la ejecución del usuario, sin vulnerabilidades en el protocolo.

Esta línea de tiempo, basada en datos en la cadena y declaraciones oficiales, muestra que, en menos de 24 horas desde que se hizo público, el precio del token AAVE experimentó una breve volatilidad, pero en general subió más del 6%, reflejando que la confianza en el protocolo no se vio gravemente afectada.

Error del usuario y responsabilidad: ¿de quién es la culpa?

El núcleo de la controversia radica en la atribución de responsabilidades. El principio fundamental de DeFi es “tus llaves, tu dinero, tu responsabilidad”: el usuario tiene control total, pero también debe asumir las consecuencias. Este gran inversor claramente cometió un error básico: ignoró las advertencias evidentes de deslizamiento y optó por realizar una operación grande en un activo con poca liquidez en una sola vez.

No obstante, algunos críticos señalan que los protocolos y los agregadores (como CoW) no son perfectos en su diseño. La interfaz de Aave, aunque advierte, puede que no sea lo suficientemente intuitiva en móvil; el algoritmo de enrutamiento de CoW no logró evitar eficazmente los riesgos en pools superficiales, lo que llevó a que la orden fuera “atrapada” en una especie de emboscada.

La respuesta de Stani Kulechov enfatizó: “El usuario confirmó manualmente los riesgos, no somos ni niñeras ni guardianes.”

Pero las opiniones en la comunidad están divididas: algunos consideran que fue solo un error del usuario, mientras que otros piden que el protocolo implemente mecanismos de protección más estrictos, como límites automáticos de deslizamiento o alertas para dividir órdenes grandes.

En comparación, incidentes similares en el pasado (como las liquidaciones en Mango Markets en 2022) generalmente se atribuyen a bugs en el protocolo, mientras que este caso parece ser una combinación de “error humano + limitaciones del sistema”.

Riesgos de liquidez y deslizamiento en DeFi, ¿cómo prevenirlo?

Primero, expliquemos qué es el deslizamiento: la diferencia de precio que ocurre cuando una orden grande se ejecuta en un mercado con poca liquidez.

En DeFi, los pools de liquidez (como Uniswap o los pools de préstamos de Aave) no tienen una profundidad infinita como los exchanges centralizados — especialmente en activos derivados como aEthAAVE, cuyo tamaño de pool es limitado. Una orden de 50 millones de dólares equivale a un gran golpe para un pool superficial.

Si la orden es demasiado grande, puede atravesar la profundidad del pool, causando una caída instantánea del precio. Los bots MEV (Miner Extractable Value) amplifican aún más las pérdidas, mediante frontrunning (ejecución anticipada) o ataques de sandwich, capturando parte del valor.

¿Cómo podemos prevenirlo?

1. Dividir la orden en varias partes: hacer varias transacciones pequeñas en lugar de una sola grande.

2. Usar órdenes limitadas: establecer un precio mínimo aceptable.

3. Verificar la profundidad del pool: consultar plataformas como DefiLlama o Dune Analytics.

4. Preferir pools con mayor liquidez: por ejemplo, cambiar directamente a ETH en lugar de versiones encapsuladas.

5. Elegir agregadores confiables: como 1inch o Paraswap, que ofrecen rutas optimizadas.

MEV y arbitraje en cadena: el papel invisible de los “sanguijuelas”

En este incidente, no toda la pérdida se “evaporó”: aproximadamente 10 millones de dólares fueron capturados por bots MEV. El MEV (Miner Extractable Value) es un área gris en Ethereum: los mineros o validadores reordenan transacciones para extraer valor. En este caso, el bot detectó la orden grande, compró aEthAAVE antes de que subiera el precio, y luego vendió para asegurar beneficios.

Esto revela un problema de equidad en DeFi: los usuarios comunes son vulnerables a ser “cazados” por bots profesionales. Las soluciones incluyen sistemas de subasta MEV como Flashbots o MEV-Share, pero aún no son perfectas. Tras el incidente, la comunidad pide que Aave integre más herramientas anti-MEV para proteger a los grandes operadores.

Reputación del protocolo Aave y la cadena de eventos recientes: advertencias de “errores en serie”

Este no es el primer problema de Aave. Hace unos días, un error en la configuración del oráculo de wstETH en Aave V3 provocó liquidaciones excesivas por 27 millones de dólares, generando descontento. Aunque Aave actuó rápidamente para corregir y compensar, este nuevo error pone a prueba su reputación. La TVL de Aave sigue siendo una de las más altas en DeFi, pero estos incidentes revelan vulnerabilidades potenciales en la configuración de oráculos, parámetros de liquidación (CAPO) y en el diseño de la interfaz.

Por otro lado, la respuesta de Aave fue eficiente: transparencia pública y reembolsos parciales, lo que mantiene la confianza de la comunidad. En comparación con competidores como Compound, esto podría fortalecer su cuota de mercado, pero si los errores se repiten, la adopción institucional (como la integración de Anchorage Digital en re-pledge) podría desacelerarse.

//////////////////

Un clic, 50 millones desaparecidos. Este incidente también nos recuerda: en el mundo cripto, como en un casino, las reglas son transparentes pero duras. El próximo “confirmar” con un clic podría estar en tu pantalla. Que nunca olvidemos: antes de pulsar, mira bien las advertencias.