El equipo de seguridad de Aave, el protocolo líder de DeFi, abandona la empresa. ¿Quién estará preparado para afrontar el próximo «cisne negro» en este mercado bajista?

Título original: «El equipo de seguridad de Aave, el protocolo más grande de DeFi, abandona la empresa. ¿Quién se encargará del próximo «cisne negro» en el mercado bajista?»

Fuente original: DeepTech TechFlow

El protocolo de préstamos más grande de DeFi está sufriendo una huelga silenciosa de su equipo de seguridad.

Ayer, una empresa llamada Chaos Labs envió una carta de despedida en la que anunciaba el fin de su colaboración con Aave. Es posible que la mayoría de los usuarios no hayan oído hablar de esta empresa, pero durante los últimos tres años, todos los índices de colateralización, los umbrales de liquidación y los parámetros de riesgo de todos los préstamos de Aave han sido fijados por ella.

Además, crearon un sistema automatizado llamado Risk Oracle, capaz de ajustar los parámetros en tiempo real en función de las condiciones del mercado, lo que ha permitido a Aave pasar de unos pocos mercados a más de 250 en 19 cadenas. Ha gestionado un fondo de cientos de miles de millones de dólares durante tres años, sin que se haya producido ningún impago.

En esencia, lo que funciona en Aave son los contratos inteligentes, pero los datos concretos de los contratos siempre han sido supervisados por Chaos Labs.

La carta de despedida del director ejecutivo, Omer Goldberg, estaba muy bien redactada y en ella se detallaban los logros alcanzados. El TVL pasó de 5.200 millones de dólares a más de 26.000 millones, con unos depósitos totales que superaron los 2,5 billones de dólares y unas liquidaciones de más de 2.000 millones...

Entonces dijo: «Nosotros propusimos de forma proactiva rescindir el contrato». Nadie les presionó, y el contrato no estaba a punto de renovarse. Al mismo tiempo, el fundador de Aave, Stani Kulechov, respondió con calma, afirmando que el protocolo funciona con normalidad y que otro proveedor de servicios de gestión de riesgos, LlamaRisk, se hará cargo.

Parece que no pasó nada.

Sin embargo, que un equipo de control de riesgos que lleva tres años sin registrar incidentes abandone voluntariamente el mayor protocolo de préstamos DeFi es lo que en las finanzas tradicionales se consideraría un mal presagio.

En el comunicado, Goldberg afirmó que el desacuerdo no se debía al dinero, sino a diferencias fundamentales en los principios de gestión de riesgos entre ambas partes.

Menos dinero, más resentimiento

Para retener al equipo, Aave Labs propuso aumentar el presupuesto anual de Chaos Labs de 3 millones de dólares a 5 millones. Sin embargo, Chaos Labs decidió marcharse de todos modos.

En la declaración, Goldberg expuso tres razones que deben llevar a la salida, pero tras leerlas, verás que todas apuntan a la misma conclusión.

Lo primero es el dinero. Los ingresos anuales de Aave en 2025 ascendieron a 142 millones de dólares, con un presupuesto para riesgos de 3 millones de dólares, lo que representa el 2 %. El sector bancario tradicional suele destinar entre el 6 % y el 10 % de su presupuesto al cumplimiento normativo y la gestión de riesgos.

Goldberg mencionó que llevaban tres años registrando pérdidas en este proyecto y que, a pesar de haber aumentado el presupuesto a 5 millones de dólares, seguían operando con pérdidas. Consideraba que una cifra mínima razonable sería de 8 millones de dólares. La tesorería de Aave contaba con 140 millones de dólares, y Aave Labs acababa de aprobar una propuesta de financiación de 50 millones de dólares para sí misma, por lo que parece que el protocolo no está en quiebra, sino que simplemente se muestra reacio a destinar esa cantidad al equipo de seguridad.

Lo segundo es la acción. Actualmente, Aave está pasando de la versión 3 a la 4, lo que supone una reescritura completa de la arquitectura subyacente, los contratos inteligentes y la lógica de liquidación. Goldberg señaló que lo único que tienen en común V4 y V3 es el nombre. Durante la actualización, ambos sistemas funcionarán en paralelo, y la carga de trabajo relacionada con la gestión de riesgos no se reducirá a la mitad, sino que se duplicará.

El tercero es la rendición de cuentas. Las responsabilidades legales de los profesionales del riesgo en el ámbito de las finanzas descentralizadas (DeFi) no están definidas actualmente, ya que no existe un marco normativo ni disposiciones de exención de responsabilidad. Cuando todo va bien, pasas desapercibido, pero cuando algo sale mal, eres el primero en tener que rendir cuentas. En palabras del propio Goldberg, si las perspectivas alcistas son mínimas y las bajistas no tienen límite inferior, seguir operando es, por naturaleza, una mala decisión en materia de gestión de riesgos.

Al autor le resulta difícil rebatir esta afirmación. Un protocolo con unos ingresos anuales de 140 millones de dólares, que destina un 2 % del presupuesto a un equipo encargado de supervisar activos por valor de miles de millones, y luego les exige que hagan el doble de trabajo, sin protección jurídica alguna si las cosas salen mal.

¿Qué harías en esa situación?

Por supuesto, la otra versión de la historia es diferente. La respuesta del fundador de Aave Labs, Kulechov, en X sugiere que Chaos Labs ha estado reduciendo recientemente su negocio de consultoría de riesgos y ya ha comenzado a disminuir su colaboración con otros protocolos.

Esto da a entender que los motivos expuestos en la carta de despedida sirven más bien para ofrecer una explicación digna de la marcha.

Ya sea por una discrepancia de principios o porque se han prometido cosas que luego no se han cumplido, los que no están al tanto no pueden juzgar. Pero una cosa es segura: Chaos Labs no es la única que se ha marchado.

Enfrentarse a una caída repentina en un mercado bajista

Aave sigue llamándose Aave, pero el grupo de personas que lo creó se ha ido marchando poco a poco en los últimos dos meses.

En febrero de este año, el equipo de desarrollo principal de Aave V3, BGD Labs, anunció que no renovaría su contrato. Esta empresa fue fundada por Ernesto Boado, antiguo director técnico de Aave, y la mayor parte del código, el sistema de gobernanza y la implementación entre cadenas de V3 son obra suya. Al cabo de cuatro años, se marcharon al vencer su contrato.

La razón que dio BGD fue muy clara. Aave Labs está concentrando el poder en sus propias manos, ya que el desarrollo de la versión 4, los activos de marca y las cuentas en redes sociales están todos bajo el control de Aave Labs. BGD consideraba que no tenía derecho a participar en el diseño, pero que se le haría responsable de los resultados. En una empresa tradicional, a esto se le llama «quedar marginado».

Un mes después, ACI, el proveedor de servicios más activo del sistema de gobernanza de Aave, también anunció su salida. Este equipo de ocho personas había impulsado el 61 % de las propuestas de gobernanza de Aave a lo largo de tres años. El fundador, Marc Zeller, afirmó abiertamente en su carta de despedida que Aave Labs podría utilizar su derecho de voto para aprobar su propio presupuesto, lo que dejaría sin sentido la presencia de proveedores de servicios independientes en este sistema.

Dos cartas de despedida en dos meses: en una decían que los habían dejado de lado; en la otra, que las reglas del juego eran injustas.

Luego, en marzo de este año, se produjo otro incidente.

Un error de configuración en el sistema de gestión de riesgos desarrollado por Chaos Labs provocó la liquidación errónea de posiciones por valor de aproximadamente 27 millones de dólares, lo que afectó al menos a 34 usuarios. Chaos Labs afirmó que no se había producido ninguna pérdida por impagos y que se indemnizaría a los usuarios afectados.

En definitiva, nadie asumió la responsabilidad legal por este incidente, ya que simplemente no existe una definición jurídica de responsabilidad en el ámbito de las finanzas descentralizadas (DeFi).

Sin embargo, cuando se gestionan cientos de miles de millones de dólares, un solo error en un parámetro puede provocar una fluctuación multimillonaria en el fondo, sin que usted cuente prácticamente con ninguna protección legal. El equipo de gestión de riesgos hizo hincapié en esta cuestión en repetidas ocasiones en su carta de despedida.

Así, en la era V3, Aave se basó en cuatro pilares: desarrollo, gobernanza, gestión de riesgos y crecimiento financiero. Ahora, los tres primeros pilares se han ido.

En la carta de despedida del equipo de gestión de riesgos aparece una metáfora conocida como «el barco de Teseo». Si se sustituyen todas las tablas de un barco, ¿sigue siendo el mismo barco?

El nombre «Aave» sigue existiendo, los contratos siguen en funcionamiento y el TVL sigue aumentando. Pero el equipo que escribía el código se ha ido, el equipo de gestión se ha ido y el equipo de gestión de riesgos se ha ido. Los usuarios siguen depositando y pidiendo prestado dinero como de costumbre, quizá sin saber que todo lo que hay bajo cubierta ha sido completamente renovado.

Lo que realmente resulta incómodo de esta situación no es quién se fue, sino el hecho de que, tras su marcha, nada cambió.

El usuario abre la página, realiza un depósito, solicita un préstamo, los tipos de interés son los habituales, la liquidación se realiza con normalidad, todo sigue como de costumbre. Si nadie lee específicamente el foro de gobernanza, la mayoría de los usuarios no sabrían lo que ha ocurrido en los últimos dos meses.

A corto plazo, quizá todo vaya bien, de hecho. Los contratos inteligentes no se detendrán por el hecho de que el equipo de riesgos se haya marchado, y los parámetros establecidos no cambiarán por sí solos. Aave sigue contando con un proveedor de servicios de gestión de riesgos, LlamaRisk, por lo que no está totalmente expuesta.

Pero la gestión de riesgos no es un proyecto puntual. Establecer parámetros no significa que siempre vayan a ser adecuados; el mercado cambia, los activos cambian y los vectores de ataque en la cadena también cambian. La próxima vez que ocurra algo parecido, nadie sabe si el nuevo equipo que se haga cargo podrá reaccionar con la misma rapidez.

Además, este no es un momento de calma.

El precio del token de AAVE ha bajado desde su máximo de 356 dólares alcanzado en agosto del año pasado hasta situarse actualmente en torno a los 96 dólares, lo que supone una caída de más del 70 %. Todo el sector de los préstamos DeFi se está contrayendo, la actividad en la cadena está disminuyendo y los ingresos de los protocolos se ven sometidos a presión.

En un mercado alcista, la gestión del riesgo pasa desapercibida, y nadie aplaude porque «hoy no ha pasado nada». En un mercado bajista, la gestión del riesgo es realmente necesaria, ya que los precios de los activos fluctúan bruscamente, aumenta la frecuencia de las liquidaciones y crece la probabilidad de que se produzca un evento «cisne negro»; precisamente esta es la situación que pone a prueba, más que ninguna otra, la experiencia y la rapidez de respuesta del equipo de gestión de riesgos.

Irónicamente, es precisamente en esta etapa cuando el grupo de personas con más experiencia se ha marchado.

El equipo de riesgos incluyó una frase en su carta de despedida que, en opinión del autor, es muy acertada. La razón por la que Aave puede superar a esos competidores más agresivos no es que ofrezca más funciones, sino que los demás fracasaron y Aave no. En este mercado, sobrevivir es lo que cuenta.

El problema es que las personas que lo hicieron posible quizá ya no estén ahí.

Enlace al artículo original