Andre Cronje: Un robo de 200 millones de dólares en rsETH podría deberse a la fuga de una clave privada o a una mala configuración — Por qué se retiró ETH de Aave para proteger la liquidez

19 abr 2026

Andre Cronje: Un robo de 200 millones de dólares en rsETH podría deberse a la fuga de una clave privada o a una mala configuración — Por qué se retiró ETH de Aave para proteger la liquidez

El 19 de abril de 2026, Andre Cronje, cofundador de Sonic Labs y fundador de Flying Tulip, declaró que el equipo sigue investigando el incidente "L0 / rsETH". Su opinión preliminar: la causa raíz podría ser un compromiso de clave privada o un error de configuración, lo que llevó al robo de aproximadamente 200 millones de dólares en rsETH. Añadió que el atacante depositó posteriormente el rsETH robado en Aave para pedir prestado ETH, en gran medida porque la liquidez spot de rsETH era insuficiente para desprenderse de él inmediatamente sin un deslizamiento importante.

Mientras la investigación está en curso, este incidente ya se ha convertido en un recordatorio oportuno de una realidad de las DeFi en 2025-2026: la composabilidad puede convertir el fallo de un protocolo en un problema de balance de otro protocolo, especialmente cuando el "activo" está puenteado o re-staked.

Para un contexto on-chain más amplio y cronologías informadas por analistas independientes, consulte esta reconstrucción de la ruta del exploit y la parte de Aave: Cronología del incidente de TechFlow. Para informes a nivel de mercado sobre la exposición resultante en Aave y las acciones de emergencia, consulte: Cobertura de Forbes sobre el riesgo de deuda incobrable de Aave rsETH.

Lo que probablemente ocurrió (y por qué rsETH terminó en Aave)

Incluso cuando un atacante roba un token, salir de esa posición de token suele ser la parte más difícil. Si el mercado es escaso, vender una gran cantidad puede hacer colapsar el precio, atraer la atención y reducir los beneficios.

Por eso vemos repetidamente un patrón en los exploits de 2025-2026:

  1. Explotar / acuñar / robar un activo (a menudo a través de un puente, oráculo o clave privilegiada).
  2. Utilizar ese activo como colateral en un mercado de préstamos importante (porque la plataforma de préstamos aún "reconoce" el activo a través de su listado y sistema de oráculo).
  3. Pedir prestado el activo blue-chip más líquido (ETH / WETH o stablecoins principales).
  4. Mover el activo prestado a otro lugar, dejando al mercado de préstamos con potencial deuda incobrable si el colateral se deteriora.

En este caso, el resumen de Cronje apunta exactamente a eso: el atacante supuestamente utilizó rsETH en Aave para pedir prestado ETH porque la liquidez de rsETH no era lo suficientemente profunda como para deshacer la posición directamente.

Esta es también la razón por la que los equipos y los grandes proveedores de liquidez pueden optar por retirar ETH de Aave durante un evento de movimiento rápido: no necesariamente porque su propia posición sea insegura, sino porque la liquidez de ETH a nivel de sistema puede convertirse en el recurso escaso cuando todo el mundo intenta desapalancarse o retirarse simultáneamente.

"Técnicamente colateralizado" no es lo mismo que "seguro"

Un detalle en el comentario de Cronje es importante: la posición de Aave se describió como técnicamente respaldada por colateral.

Eso puede ser cierto en la contabilidad de Aave (posición sobrecolateralizada, reglas de LTV, umbrales de liquidación). Sin embargo, puede fallar en la práctica si ocurre alguna de las siguientes cosas:

  • La credibilidad del colateral se rompe: si rsETH no tiene respaldo o su mecanismo de redención se detiene, su "valor de mercado" puede colapsar más rápido de lo que los liquidadores pueden actuar.
  • Retraso del oráculo vs. liquidez real: el precio del oráculo puede permanecer más alto que lo que el mercado puede realizar realmente a gran escala.
  • La liquidez se evapora bajo tensión: las liquidaciones requieren compradores; en pánico, las ofertas desaparecen.
  • Los controles de riesgo entran en vigor: los mercados pueden congelarse, el LTV establecerse en 0, o los préstamos desactivarse, limitando los flujos de liquidación "normales".

Aave ha utilizado previamente medidas precautorias como la congelación de activos y el establecimiento de LTV a 0 para contener la exposición sistémica. Para un ejemplo de cómo se discuten y ejecutan estos controles en la práctica, consulte este hilo de gobernanza: Discusión de gobernanza de Aave sobre la congelación precautoria de rsETH.

Por qué la "capa de puente / L0" importa más que nunca en 2026

La palabra clave "L0" en la declaración de Cronje se interpreta ampliamente como una referencia a la infraestructura de mensajería / interoperabilidad entre cadenas. En el entorno post-2025, los puentes y las capas de mensajería ya no son "tuberías"—son parte del modelo de confianza del activo.

Si se puede acuñar / liberar rsETH en una cadena de destino debido a:

  • claves de administrador comprometidas,
  • endpoints mal configurados,
  • o validación insuficiente de mensajes entre cadenas,

entonces el token puede existir on-chain y estar económicamente sin respaldo. Una vez que un token así es aceptado como colateral en cualquier lugar, el contagio es inmediato.

Si desea comprender por qué el riesgo entre cadenas sigue siendo una superficie de ataque principal, comience con los propios recursos técnicos y descripciones de arquitectura de LayerZero: Documentación de LayerZero.

Lo que los usuarios están preguntando ahora mismo (y qué hacer)

1) "¿Estoy expuesto si nunca tuve rsETH?"

Posiblemente. La exposición suele ser indirecta:

  • suministrar ETH / WETH a mercados de préstamos que se pueden pedir prestados contra rsETH,
  • poseer participaciones de bóveda que canalizan colateral a través de Aave,
  • o estar en estrategias de bucles apalancados donde la liquidez de liquidación depende de mercados saludables.

Acción: revise sus posiciones en DeFi y reduzca el apalancamiento si su margen de seguridad es escaso.

2) "¿Debo retirar ETH de Aave?"

No hay una respuesta única para todos. Pero durante incidentes en los que se cuestiona un activo colateral importante, la liquidez puede volverse reflexiva: los usuarios retiran porque otros retiran.

Acción: si depende de la liquidez inmediata (por ejemplo, para nóminas, márgenes o operaciones activas), considere mantener un colchón más alto fuera de los mercados de préstamos hasta que la situación se estabilice.

3) "¿Cómo minimizo las pérdidas basadas en aprobaciones durante el caos?"

En incidentes volátiles, los ataques de phishing y las solicitudes de aprobación maliciosas se disparan.

Acción: audite y revoque las aprobaciones de tokens innecesarias regularmente utilizando una herramienta de permisos de buena reputación como Revoke.cash, y evite firmar transacciones que no comprenda completamente.

Conclusiones de seguridad para equipos: las claves privadas y la configuración "aburrida" siguen siendo el riesgo nº 1

La evaluación preliminar de Cronje (fuga de clave privada o mala configuración) se alinea con una dura verdad: muchas pérdidas catastróficas no son fallos novedosos en contratos inteligentes, son fallos de seguridad operativa.

Controles prácticos que importan en 2026:

  • roles de mínimo privilegio y acciones administrativas con bloqueo de tiempo,
  • gobernanza multi-firma para actualizaciones y parámetros de puente,
  • almacenamiento de claves endurecido (offline o con respaldo HSM),
  • monitorización y alerta de cambios de configuración,
  • y planes de emergencia de "rotura de cristal" que se prueban antes de un incidente.

Incluso con auditorías, una clave de despliegue filtrada o una sola entrada incorrecta en la lista de permitidos puede deshacer meses de ingeniería.

Dónde encaja OneKey: la autocustodia reduce el riesgo de clave, pero no el riesgo del protocolo

Este incidente es un buen momento para separar dos categorías de riesgo:

  • Riesgo de clave (lado del usuario): fuga de frase semilla, malware, ataques al portapapeles, firmas de phishing.
  • Riesgo de protocolo (lado del sistema): fallos de diseño de puentes, problemas de oráculo, deterioro del colateral, fallos de gobernanza.

Una billetera de hardware ayuda principalmente con la primera categoría. Si usted está utilizando activamente DeFi, OneKey puede ser una capa práctica para aislar las claves privadas de los dispositivos conectados a Internet, forzar la confirmación de transacciones de confianza y apoyar un flujo de trabajo de autocustodia más seguro entre cadenas, especialmente cuando los mercados se mueven rápido y los atacantes están más activos.

Dicho esto, ninguna billetera de hardware puede "arreglar" un puente roto o un token colateral sin respaldo. La mejor postura es en capas: claves seguras + apalancamiento conservador + monitorización continua.

Reflexiones finales

El evento de rsETH subraya un tema de las DeFi en 2025-2026: a medida que los activos de re-stake y la liquidez entre cadenas se vuelven convencionales, el riesgo se concentra en los bordes—puentes, configuraciones y controles operativos—y luego se propaga a los centros más líquidos como Aave.

Hasta que se publiquen los análisis post-mortem definitivos, trate las cifras y atribuciones iniciales como preliminares. Pero el guion ya es familiar: los activos de liquidez escasa se utilizan como colateral, y los mercados más líquidos absorben el impacto.

Si está creando o utilizando DeFi hoy en día, haga que la "seguridad aburrida" sea innegociable y mantenga sus claves privadas verdaderamente privadas.

Asegura tu viaje cripto con OneKey

View details for Comprar OneKeyComprar OneKey

Comprar OneKey

La cartera de hardware más avanzada del mundo.

View details for Descargar aplicaciónDescargar aplicación

Descargar aplicación

Alertas de estafa. Todas las monedas soportadas.

View details for OneKey SifuOneKey Sifu

OneKey Sifu

Claridad cripto — a una llamada de distancia.