Un usuario intentó comprar AAVE, el token nativo de la plataforma de finanzas descentralizadas (DeFi) Aave, con 50 millones de USDT a través de su interfaz de intercambio, y recibió solo 324 AAVE, equivalentes a aproximadamente USD 36.000.
La causa no habría sido una falla técnica ni un hackeo. El usuario habría confirmado explícitamente una operación con un impacto de precio del 99%, luego de que la interfaz le mostrara una advertencia y le exigiera marcar un checkbox para continuar.
Stani Kulechov, CEO y fundador de Aave y quien comunicó lo sucedido, explicó que «dado el tamaño inusualmente grande de la orden, la interfaz de Aave, como la mayoría de las interfaces de trading, advirtió al usuario sobre el slippage extraordinario y requirió confirmación». Kulechov aclaró que «la transacción no podía avanzar sin que el usuario aceptara explícitamente el riesgo».
Martin Grabina, ingeniero de Aave, precisó la distinción técnica central del caso: el problema no fue el slippage (la tolerancia a la variación de precio entre el momento de firmar y el de ejecutar la orden) sino el impacto de precio. «La cotización original presentada al usuario antes de fees y slippage ya mostraba una tasa muy desfavorable: 50 millones de USDT por menos de 140 AAVE», señaló Grabina.
El usuario recibió incluso un 0,7% más de AAVE de lo que la cotización original estimaba, lo que confirma, según Grabina, que «los mecanismos del swap funcionaron exactamente como estaban diseñados». El sistema no habría fallado, ejecutó la orden en los términos que el usuario aceptó.
De los USD 50 millones intercambiados, el agente conocido como Titan Builder extrajo USD 34 millones en ETH y los transfirió al exchange Coinbase. Titan Builder es un constructor de bloques en Ethereum que obtiene ganancias ordenando estratégicamente las transacciones dentro de cada bloque.
Al detectar la operación del usuario, insertó sus propias transacciones alrededor de ella para capturar la diferencia entre el precio que el usuario aceptó y el precio real de mercado, una práctica conocida como MEV (Valor Máximo Extraíble).
No hubo un robo técnico. Titan Builder operó dentro de las reglas del protocolo. Sin embargo, esos USD 34 millones no serán devueltos, ya que los fondos operaron dentro de las reglas del protocolo y no serán devueltos.
Aave, conforme a Stani, le reembolsará al usuario USD 600.000 en comisiones cobradas por la transacción e intentará contactar al usuario.
DeFi sin permisos y sus límites
Kulechov reconoció que «si bien el usuario pudo proceder con el swap, el resultado final estuvo claramente lejos de ser óptimo» y anunció que el equipo investigará salvaguardas adicionales.
El caso expone una tensión estructural del diseño DeFi: un sistema abierto y sin permisos donde el protocolo funciona correctamente puede igualmente producir resultados devastadores para un usuario que acepta condiciones adversas sin comprender su alcance real.
La pregunta que deja el caso no es técnica sino de diseño: ¿debe una interfaz DeFi permitir que un usuario se dañe a sí mismo a esta escala, aunque haya aceptado explícitamente el riesgo?
