Las ventajas principales de DeFi están acabando con ellas mismas

Autor: Thejaswini, Fuente: Buttercup Network, Traducción: Shaw 金色财经

“Extinción” es una palabra muy pesada. Como siempre he dicho, soy optimista respecto a DeFi. Pero por otro lado, cada pocos meses, DeFi repite la misma tragicomedia de riesgos, y luego fingen estar sorprendidos por los resultados. Con el tiempo, uno acaba admirando esa perseverancia.

El 18 de abril, el atacante aprovechó una vulnerabilidad en el puente cross-chain basado en LayerZero de Kelp DAO, y robó 116500 rsETH, valorados en aproximadamente 292 millones de dólares, lo que representa alrededor del 18% del suministro total de ese token. El atacante no vendió inmediatamente para obtener ganancias — hoy en día, los hackers actúan con más cautela.

El hacker depositó 89567 rsETH robados en Aave V3 como colateral, tomó prestado ETH nativo y luego se retiró sin más.

Así, Aave asumió de la nada una deuda incobrable de aproximadamente 196 millones de dólares, y estos tokens en garantía, hace solo unas horas, no deberían haber existido de forma arbitraria.

En 48 horas, el valor total bloqueado (TVL) en Aave cayó de 26.4 mil millones de dólares a cerca de 20 mil millones, y actualmente ha bajado a 14 mil millones; su token nativo AAVE también cayó un 16% en precio.

SparkLend y Fluid congelaron de emergencia los mercados de préstamos relacionados con rsETH, Lido suspendió el producto earnETH, y Ethena, aunque sin exposición directa al riesgo, cerró de emergencia todos sus puentes cross-chain basados en LayerZero.

La casa de al lado se incendia, y el tío, temeroso de verse afectado, simplemente arroja todos los muebles por la ventana. En el contexto actual de la industria, ¿cómo puedo culpar esa autoprotección?

El fundador de Aave, Stani Kulechov, aclaró en Twitter: que el contrato de Aave en sí no fue vulnerado, que el mecanismo de pausa de emergencia funcionó correctamente, y que todo el sistema operaba según el diseño previsto.

Si este sistema realmente funciona según lo diseñado, entonces ese diseño en sí mismo es un desastre.

El puente cross-chain de Kelp utiliza una arquitectura de red de validación descentralizada de un solo nodo (1-of-1 DVN). A continuación, te explico qué significa exactamente:

• Validación única: solo una entidad responsable de verificar las transacciones.

• Autorización con firma única: solo se necesita una “confirmación digital” para aprobar transferencias de activos.

• Permiso ilimitado: con esa firma, se tiene la máxima autoridad para acuñar miles de millones en nuevos tokens.

Incluso en un banco tradicional, una transferencia de 10,000 dólares generalmente requiere la aprobación conjunta de dos o tres gerentes.

Pero el puente cross-chain de Kelp, que maneja decenas de miles de millones en activos en transferencia, busca solo bajo costo y una arquitectura “sencilla”, sin mecanismos efectivos de control ni gestión de riesgos.

Ahora hablemos de Aave. Anteriormente, Aave aceptaba rsETH como colateral, con un ratio de préstamo a valor (LTV) de hasta el 93%. En términos simples: por cada dólar en rsETH depositado por el usuario, Aave puede prestar 0.93 dólares en activos reales. Solo confiando en un colateral con una confianza extremadamente alta, se establecen parámetros tan agresivos. Pero esa confianza en el token, que Aave considera fiable, puede ser incrementada en un solo intercambio en un 18% sin dificultad, solo por emisión adicional.

El límite de depósito de ese token es muy permisivo: un solo monedero puede depositar hasta 90,000 rsETH en una sola vez, sin activar ninguna alerta de gestión de riesgos. ¿Cómo describirías estos parámetros de riesgo? La respuesta, probablemente, sea evidente.

Cada análisis posterior termina en la misma conclusión: los contratos inteligentes funcionaron correctamente, los datos de los oráculos fueron reportados normalmente, los mecanismos de liquidación se activaron según las reglas, y la función de pausa de emergencia se activó en minutos. Son hechos, pero no abordan el núcleo del problema.

El diseño del protocolo de Aave tiene una vulnerabilidad fundamental: mientras el riesgo no sea expuesto públicamente, el sistema permite que monederos anónimos depositen miles de millones en activos colaterales sin respaldo subyacente, y otorguen préstamos reales basados en ello.

Este diseño se basa en una filosofía subyacente: mientras exista un precio de oráculo para el activo y el límite de depósito sea lo suficientemente amplio, se puede usar sin restricciones para préstamos y colaterales.

Los que creen en “el código es la ley” siempre toman esa frase como un mantra. Pero que el código sea la ley no significa que las reglas sean razonables, solo que se ejecutarán mecánicamente sin margen de maniobra. Si las reglas dicen “todo token con precio de oráculo puede ser colateral para préstamos en altas proporciones”, esa ejecución incondicional es lo más aterrador.

En los últimos seis años, DeFi ha estado promoviendo la composabilidad. Todos hablan de “Lego financiero”: capas de protocolos anidadas, fondos que fluyen libremente, mecanismos eficientes y sofisticados.

En contraste, los bancos tradicionales no usan fácilmente pagarés de otros bancos como colateral, y detrás siempre hay un equipo de gestión de riesgos que revisa cada operación. Esa es la lección que dejó la crisis financiera de 2008: posiciones financieras altamente correlacionadas solo generan riesgo compartido, no beneficios compartidos. A nivel global, los reguladores financieros vieron en 2019 los peligros mortales de la arquitectura DeFi.

El riesgo de contraparte en múltiples capas, la falta de descuentos en las garantías, la ausencia de límites de crédito, y la falta de un último garante, hacen que toda la industria crea ciegamente que la transparencia en la cadena puede reemplazar todos los límites de gestión de riesgos.

El índice de utilización del fondo principal de Aave llegó al 100%, y los ahorradores que querían retirar ETH no pudieron hacerlo normalmente. En la banca tradicional, eso sería un típico caso de corrida bancaria.

Cuando los usuarios depositan activos en Aave, en realidad están asumiendo cuatro niveles de riesgo: los parámetros de gestión de riesgos de Aave, el oráculo de rsETH, el puente cross-chain de Kelp, y la configuración de la red de validación descentralizada de Kelp. Y la mayoría de los usuarios de Aave ni siquiera conocen la última.

Facturación de pérdidas

• Pérdidas por el evento Kelp: 292 millones de dólares;

• Pérdidas por el evento Drift hace tres semanas: 285 millones de dólares;

• En solo 21 días, las dos principales plataformas del sector perdieron casi 500 millones de dólares en total.

En el primer trimestre de 2026, las transacciones de capital de riesgo en criptomonedas cayeron un 48.9% interanual, y las rondas de financiación se redujeron de 358 a 183. En ese mismo trimestre, las inversiones en IA alcanzaron 242 mil millones de dólares, aproximadamente el 80% del total global de capital de riesgo.

El capital destinado a mejorar la infraestructura básica de DeFi se está desviando hacia otros campos más atractivos para la especulación. Las verdaderas innovaciones que necesita DeFi — ratios de préstamo conservadores, puentes cross-chain con múltiples validadores, mecanismos de seguro efectivos, auditorías regulares para configuraciones básicas— permanecen ignoradas.

Nunca nadie se hizo rico simplemente por pensar en “qué desastre puede causar un nodo de validación único (DVN) que se convierta en un punto único de fallo”. Claro que no, salvo en el caso del hacker del 18 de abril, que fue la única excepción.

Hagamos un cálculo simple: el 18 de abril, el fondo de reserva de seguridad de Aave era de 390 millones de dólares, y el saldo de préstamos pendientes alcanzaba los 17.82 mil millones de dólares.

La ratio de capitalización implícita era solo del 2.2%.

El acuerdo de Basilea III exige un mínimo del 8% de capitalización para los bancos, y JPMorgan en realidad cumple con un 15.5%. Pero el límite de penalización de Aave, que puede confiscársele en caso de incumplimiento, es del 30%, lo que significa que el fondo de respaldo efectivo solo puede movilizar unos 180 millones de dólares, y la ratio de capitalización efectiva cae aún más, a aproximadamente 1.0%.

Las soluciones simples y factibles siempre han existido: usar una arquitectura de múltiples validadores (Multi-DVN), reducir el ratio de préstamo para activos con dudas, establecer límites reales en la emisión de tokens. La solución más costosa, sin embargo, es aceptar una realidad: la composabilidad nunca ha sido una ventaja, sino un mecanismo de transmisión de riesgos muy elaborado.

No creo que esto sea solo un problema de seguridad. Desde hace seis años, DeFi ha estado atrapado en una ilusión: igualar transparencia en cadena con seguridad de activos. Y cada 18 meses, una crisis de mayor escala vuelve a demostrar la falacia de esa creencia.

“El Lego financiero” suena muy bien, pero también describe con precisión la realidad actual: apilar bloques de plástico en una mesa en llamas. Esa es una lección que me enseñaron mis mayores, y que va al grano.