Recientemente leí que Step Finance, una plataforma de agregación DeFi bastante conocida en Solana, ha cerrado completamente. La causa fue un hack que permitió retirar aproximadamente 30 millones de USD del sistema a finales de enero. Pero lo interesante aquí no es solo que un proyecto deje de operar, sino que refleja un problema mayor en DeFi que muchos aún no han reconocido.

¿Qué diferencia esta vez respecto a otros incidentes en DeFi? Normalmente, cuando se habla de hackeos, la gente piensa inmediatamente en vulnerabilidades en smart contracts, es decir, errores en el código de los contratos inteligentes. Pero en el caso de Step Finance no fue así. Según la información, la vulnerabilidad no residía en el smart contract en sí ni en cómo fue codificado, sino en el lado off-chain, específicamente en los dispositivos de los miembros del equipo de gestión del proyecto que fueron comprometidos. Cuando los atacantes controlan estos dispositivos, pueden obtener las claves privadas o interferir en el proceso de aprobación de transacciones. Como resultado, se retiraron casi 262,000 SOL, y el token STEP cayó más del 80% en poco tiempo.

Este es el punto clave: incluso si los smart contracts son auditados minuciosamente, incluso si el código está limpio, el riesgo aún puede venir de las personas y de cómo gestionan el sistema. Entender qué es un smart contract es solo una pequeña parte del panorama. La gestión de claves privadas, los procesos internos de aprobación, el control de dispositivos — estas cosas son igualmente importantes.

Por cierto, Step Finance fue una herramienta bastante útil para que los usuarios de Solana monitorearan sus portafolios DeFi. Ahora que ha desaparecido, deja un vacío cierto. Sin embargo, SOL todavía se mantiene bastante estable, lo que indica que el mercado está diferenciando entre el riesgo de un protocolo individual y las perspectivas a largo plazo de la blockchain.

Pero si miramos el panorama completo, la situación es aún más preocupante. Según datos de PeckShield, las pérdidas totales relacionadas con criptomonedas en 2025 superaron los 4,04 mil millones de USD, un aumento cercano al 34% respecto al año anterior. De esas, 2,67 mil millones provienen de hackeos, y 1,37 mil millones de fraudes (aumentaron un 64%). Solo en febrero, fue un desastre con un ataque valorado en 1,51 mil millones de USD dirigido a un exchange importante. Se registraron más de 200 incidentes de hackeo.

Lo que llama la atención es que la tendencia está cambiando. En lugar de solo explotar vulnerabilidades técnicas, los ataques ahora apuntan cada vez más a las personas — ingeniería social, control de dispositivos, dirigidos a grandes organizaciones o individuos con grandes activos. Esto aumenta significativamente el daño promedio en cada hackeo.

En comparación, los smart contracts siguen siendo una parte de la seguridad, pero DeFi ahora debe ampliar sus estándares de seguridad más allá del código. La gestión interna, el control de claves, los procesos de aprobación de transacciones — todo esto necesita ser optimizado. Cuando los fondos institucionales prestan más atención a los activos digitales, incidentes como estos plantean la pregunta: ¿está la infraestructura de DeFi lista para gestionar riesgos operativos a gran escala?

Step Finance quizás sea solo un proyecto dentro del ecosistema, pero nos recuerda que el riesgo en DeFi no solo reside en la blockchain. Está en cómo las personas gestionan, operan y protegen lo que hay detrás del sistema. Esa es la verdadera problemática que la industria debe resolver.