Cómo una falla del oráculo de Aave desencadenó liquidaciones de $21.7M e puso a prueba la gobernanza de riesgos de DeFi

El 10 de marzo, una mala configuración técnica en la infraestructura del oráculo de Aave provocó liquidaciones forzadas, poniendo a prueba la dependencia de DeFi en sistemas automatizados de gestión de riesgos.

El evento de liquidación de 21,7 millones de dólares en Aave

Los usuarios de Aave sufrieron aproximadamente 21,7 millones de dólares en liquidaciones el 10 de marzo, después de que una restricción en cadena en el agente de riesgo de Wrapped stETH (wstETH) causara que los valores de las garantías se subestimaran. En total, 34 cuentas fueron liquidada porque el protocolo valoró wstETH en aproximadamente un 2,85% por debajo de su precio real de mercado.

El protocolo finalmente no incurrió en deuda incobrable y compensó a los usuarios afectados. Sin embargo, el evento expuso debilidades estructurales en cómo la gestión automatizada de riesgos en DeFi ejecuta cambios sin intervención humana. También mostró cuán rápidamente un parámetro mal configurado puede desencadenar liquidaciones a gran escala de posiciones que, en realidad, estaban sanas.

Según datos posteriores al incidente, los usuarios que tenían wstETH como garantía contra deuda en WETH parecían estar con menos garantías solo por la valoración incorrecta. Además, sus posiciones habrían permanecido seguras a los precios reales del mercado, lo que subraya que la falla fue de infraestructura y no del mercado.

Mecánica de la falla del CAPO

El incidente se originó en el sistema CAPO (Correlated Asset Price Oracle) de Aave, diseñado para proteger contra manipulaciones en activos con precios correlacionados, como wstETH y stETH. CAPO obtiene la relación wstETH/stETH de Lido, aplica un límite protector mediante el WstETHPriceCapAdapter, y luego multiplica el resultado por el precio de ETH para obtener una valoración en USD.

A las 12:47 UTC del 10 de marzo, el motor de riesgo off-chain de Chaos Labs recomendó actualizar el precio máximo del CAPO a 1.1933947 wstETH/ETH. En ese momento, la relación de mercado real era de 1.2285, lo que implicaba que el límite propuesto ya estaba por debajo de los precios vigentes.

AgentHub de BGD ejecutó esta recomendación un bloque después a través de su sistema de Automatización de Oráculos, sin ninguna revisión previa entre la recomendación off-chain y la implementación en cadena. Este proceso instantáneo fue precisamente lo que convirtió un error de configuración en un evento que impactó inmediatamente a los usuarios.

La desalineación del 2,85% provocó que el protocolo subvalorara la garantía de wstETH. Como resultado, cuentas que en realidad estaban seguras según datos de mercado fueron marcadas como con menos garantías y liquidada. La cascada procesó 10,938 wstETH en 34 cuentas y generó aproximadamente 512 ETH en bonificaciones por liquidación para los liquidadores antes de que se detectara y corrigiera el problema.

Causa raíz técnica: desalineación en la instantánea

La falla técnica provino de una discrepancia entre snapshotRatio y snapshotTimestamp en CAPO. El Agente de Riesgo off-chain de Chaos Labs calculó una relación objetivo de aproximadamente 1.2282, basada en una instantánea de hace 7 días. Sin embargo, el sistema en cadena limitaba la rapidez con la que podía moverse esa relación.

Según las reglas protectoras de CAPO, el valor anterior en cadena de aproximadamente 1.1572 solo podía aumentar un 3% cada 3 días. En la práctica, esto significaba que la relación solo podía subir a aproximadamente 1.1919 en una actualización, incluso si el objetivo off-chain había subido más. Además, la actualización no alineó estas restricciones con la lógica de la marca de tiempo.

La snapshotTimestamp se estableció como si el valor en cadena ya reflejara la relación off-chain de hace 7 días, creando una inconsistencia crítica entre el tiempo y los precios. Como resultado, CAPO calculó una tasa máxima de cambio de aproximadamente 1.1939, un 2,85% por debajo de la tasa de mercado real de 1.2285.

Este incidente marcó la primera actualización automatizada en cadena impulsada por el Agente de Riesgo CAPO de Chaos Labs desde su despliegue. Sin embargo, que la primera ejecución provocara liquidaciones en los usuarios hizo que la mala configuración fuera especialmente alarmante tanto para la gobernanza como para los usuarios.

Cadena de ejecución automatizada desde Edge Risk hasta AgentHub

Edge Risk es el motor de riesgo off-chain propio de Chaos Labs que prepara y envía cambios de parámetros desde una dirección designada. AgentHub, desarrollado por BGD, escucha estos cambios mediante Oracle Automation y luego los propaga al protocolo.

El cambio de parámetro defectuoso pasó por la pila de riesgo automatizada de Chaos Labs en una secuencia de dos transacciones. Primero, el motor Edge Risk recomendó cambiar el límite a 1.191926 wstETH/ETH en la transacción 0xfbafeaa8c58dd6d79f88cdf5604bd25760964bc8fc0e834fe381bb1d96d3db95. Luego, AgentHub ejecutó el cambio un bloque después mediante la transacción 0x32c64151469cf2202cbc9581139c6de7b34dae2012eba9daf49311265dfe5a1e.

Las liquidaciones diarias en Aave en febrero fueron relativamente modestas, rara vez superando los 5 millones de dólares, ya que las condiciones del mercado permanecieron estables. El pico del 10 de marzo, con 21,6 millones de dólares, destaca como un caso aislado, aproximadamente cuatro veces mayor que los niveles habituales. Además, los volúmenes de liquidación volvieron rápidamente a la línea base tras la corrección, confirmando que la tensión provino del camino del oráculo y no de una insolvencia general del protocolo.

Este comportamiento reforzó la conclusión de que el problema de precios de wstETH fue una falla de configuración discreta. No fue un síntoma de deterioro en la calidad de las garantías, problemas de liquidez o desleveraging sistémico en el ecosistema de Aave.

Plan de detección, mitigación y compensación por liquidaciones

La mala configuración se detectó en minutos, lo que llevó a una respuesta acelerada del equipo de Aave y sus proveedores de riesgo. Para limitar la exposición, se redujeron rápidamente los límites de préstamo de wstETH en Aave Core y Aave Prime a 1, congelando así la nueva actividad de préstamo contra ese activo.

Mediante intervención manual del Risk Steward, el equipo reajustó el snapshotRatio con el snapshotTimestamp en vivo, restaurando la fuente del oráculo a su valor correcto. Se realizó una corrección del oráculo mediante la transacción 0xb883ad2f1101df8d48f014ba308550f3251c2e0a401e7fc9cf09f9c2a158259d, mientras que los cambios en el límite de préstamo para establecer la capacidad de préstamo de wstETH en 1 wstETH se ejecutaron mediante la transacción 0x34f568b28dbcaf6a8272038ea441cbc864c8608fe044c590f9f03d0dac9cf7f8.

A pesar de la venta forzada, el protocolo no incurrió en deuda incobrable y publicó un análisis detallado en los foros de gobernanza de Aave. Sin embargo, las pérdidas de los usuarios por liquidaciones requirieron una respuesta política separada, que finalmente condujo a un plan estructurado de compensación por liquidaciones.

Para compensar a las cuentas afectadas, Aave recuperó 141.5 ETH en bonificaciones por liquidación mediante reembolsos de BuilderNet. La tesorería de la DAO cubrió la diferencia restante, con una restitución total a los usuarios limitada a 358 ETH. Es importante destacar que el plan se implementó mediante una Propuesta de Mejora de Aave (AIP), asegurando que los usuarios afectados recibieran una compensación completa a pesar de que el error se originó en la infraestructura.

Contexto del mercado en torno al incidente del 10 de marzo

La actividad cross-chain en Aave mostró un crecimiento robusto de usuarios durante el período febrero-marzo. Por ejemplo, Avalanche registró 38,445 usuarios que depositaron el 10 de febrero, mientras que Base registró 31,763 usuarios en marzo 6, apenas cuatro días antes del evento de liquidación impulsado por el oráculo.

Estos picos resaltan el creciente compromiso de los usuarios en las redes soportadas por Aave, incluso mientras el protocolo navegaba un incidente técnico complejo. Además, los depósitos y préstamos totales de Aave permanecieron estables durante principios de 2026, lo que sugiere que la confianza en el diseño central del protocolo no se debilitó materialmente tras el evento.

La estabilidad de los depósitos, junto con la rápida normalización de las liquidaciones, subraya que la mala valoración de wstETH surgió de problemas de configuración, no de una tensión fundamental en los mercados de garantías. Sin embargo, el riesgo de concentración en proveedores de oráculos y caminos de precios sigue siendo una preocupación estructural para plataformas DeFi a la escala de Aave.

Gobernanza, transparencia y el futuro de la ejecución automatizada de oráculos

El incidente del 10 de marzo ilustra las compensaciones de gobernanza que genera la ejecución automatizada de oráculos en los principales protocolos de préstamos DeFi. Edge Risk de Chaos Labs recomendó un límite por debajo del mercado, AgentHub de BGD lo ejecutó un bloque después, y las liquidaciones siguieron en minutos, dejando casi no tiempo para intervención humana.

Aave respondió con detección rápida, acciones correctivas decisivas y plena compensación a los usuarios, financiada en parte por la tesorería de la DAO. Sin embargo, el episodio reveló deficiencias en la validación previa a la ejecución y resaltó los riesgos de depender excesivamente de un motor de riesgo propietario. En particular, la naturaleza cerrada de los cálculos de Chaos Labs Edge Risk limita la verificación independiente y otorga un control operativo significativo a proveedores externos.

A medida que más protocolos DeFi adopten marcos automatizados de Agentes de Riesgo CAPO y sistemas similares, el incidente muestra que la gobernanza debe incorporar pruebas rigurosas, ventanas de revisión explícitas y supervisión transparente. Además, la arquitectura del oráculo de Aave probablemente necesitará capas adicionales de seguridad, como verificaciones cruzadas de múltiples fuentes o mecanismos de despliegue escalonado, para garantizar que errores técnicos futuros no se traduzcan directamente en pérdidas para los usuarios.

En resumen, las liquidaciones del 10 de marzo no fueron una crisis de mercado, sino una prueba de estrés en gobernanza e infraestructura. La combinación de automatización, ejecución rápida y modelos de riesgo opacos subraya por qué los protocolos DeFi deben equilibrar eficiencia con salvaguardas transparentes y auditable para proteger a los usuarios.