Informe en profundidad del Standard Chartered Bank: El mecanismo de fijación de precios de riesgo de DeFi falla, y los rendimientos no cubren los riesgos reales

El 18 de abril de 2026, el protocolo DeFi de rehipotecado KelpDAO sufrió la mayor brecha de seguridad del año. Los atacantes aprovecharon una falla de validación en la infraestructura de cadenas cruzadas LayerZero, falsificaron mensajes entre cadenas y robaron aproximadamente 116,500 rsETH, valorados en unos 292 millones de dólares, lo que representa el 18% de la oferta circulante de ese token. A diferencia de la mayoría de las brechas anteriores, los atacantes no liquidaron inmediatamente los fondos robados, sino que los usaron como colateral en protocolos de préstamo tradicionales como Aave, prestando unos 74,000 ETH, generando más de 280 millones de dólares en deudas incobrables entre diferentes protocolos. Esta operación transmitió las pérdidas, originalmente concentradas en un solo protocolo, a todo el ecosistema de préstamos a través de la composabilidad de DeFi.

Este es ya el segundo evento importante en tres semanas. El 1 de abril, el protocolo derivado de la ecosistema Solana, Drift Protocol, fue atacado, con pérdidas de 285 millones de dólares. En total, estos dos incidentes causaron más de 575 millones de dólares en pérdidas directas, y si se incluyen las aproximadamente 230 millones de dólares en deudas incobrables por depreciación de colaterales en Aave, las pérdidas en activos criptográficos en abril superaron los 600 millones de dólares. Geoff Kendrick, director de investigación de activos digitales en Standard Chartered, señaló en un informe posterior que DeFi enfrentó una prueba de resistencia de “ser doblado, pero no destruido”—pero detrás de esta evaluación hay una pregunta más profunda: ¿cuánto de los rendimientos actuales en DeFi proviene realmente de eficiencia de capital genuina y cuánto de la indiferencia al riesgo?

¿Por qué existe una desconexión a largo plazo entre las tasas de depósito y el riesgo real?

El informe de Standard Chartered revela un problema estructural que el mercado ha ignorado durante mucho tiempo: las tasas de interés de préstamo en DeFi no cubren generalmente el costo real del riesgo de los activos. Ya sea en los productos derivados de LRT (rehipotecado de liquidez) de KelpDAO o en los contratos perpetuos de Drift, los activos subyacentes suelen ser combinaciones de múltiples capas—tokens empaquetados, activos entre cadenas, tokens de staking líquidos—lo que hace que la estructura de riesgo final sea altamente compleja.

Tomemos como ejemplo rsETH, que en Aave tiene un 98% de colateral concentrado en un solo modo de operación de “apalancamiento cíclico”, donde los participantes depositan activos en Aave y los toman en préstamo hasta un máximo valor de préstamo, para luego invertir en tokens más complejos en busca de mayores rendimientos. Aunque esta operación parece crear eficiencia de capital significativa, en realidad combina riesgos de liquidez, riesgos de liquidación y volatilidad del colateral en múltiples capas, y los modelos de fijación de tasas actuales no asignan un margen adicional a estos riesgos multilayer.

El punto más vulnerable en el ataque a KelpDAO no es un fallo en el código, sino que la autoridad en la validación subyacente está demasiado concentrada. Los datos muestran que en el ecosistema de aplicaciones entre cadenas de LayerZero, el 47% funciona con una configuración de validadores de firma única (1/1), el 45% con una configuración de 2/2, y menos del 5% con arquitecturas de seguridad más robustas. Esto significa que la mayoría de las aplicaciones entre cadenas dependen de solo 1 o 2 firmas para su seguridad; si estas son comprometidas, cientos de millones en fondos quedan sin protección—y esta vulnerabilidad sistémica no está reflejada en las tasas de depósito actuales.

¿Por qué el modelo de fijación de riesgos de Standard Chartered sugiere una tasa razonable superior al 13%?

El análisis posterior al incidente de Standard Chartered indica que las tasas de interés de depósito en DeFi están subestimadas sistemáticamente. Los cálculos del modelo muestran que, considerando la frecuencia de vulnerabilidades en contratos inteligentes, la exposición a riesgos en puentes entre cadenas, y la transmisión de crisis de liquidez, la tasa razonable en DeFi debería ser significativamente superior a los niveles actuales. El informe afirma que la “prima de riesgo de infraestructura” en DeFi ha sido históricamente ausente, lo que causa una grave desconexión entre rendimientos y riesgos.

Específicamente, la fijación de primas de riesgo generalmente debe cubrir tres niveles de exposición: primero, el riesgo de código en los contratos inteligentes—que dependen de código abierto y cualquier falla no detectada puede vaciar todos los fondos bloqueados; segundo, el riesgo en la infraestructura de cadenas cruzadas—que amplía la superficie de ataque y ha acumulado pérdidas de miles de millones de dólares; y tercero, el riesgo de contagio por la composabilidad de activos—una vulnerabilidad en un punto puede propagarse rápidamente a todo el sistema, amplificando los problemas locales en un impacto sistémico.

Cuando estos riesgos se consideran en un marco de alta confianza, la diferencia entre la tasa razonable y la tasa de mercado se vuelve evidente. Standard Chartered describe la contracción de liquidez tras el incidente de KelpDAO como un “pánico bancario”—la cantidad de depósitos en Aave cayó aproximadamente un 38%, y los préstamos activos disminuyeron un 31%—una presión de liquidez que en finanzas tradicionales implicaría un aumento sustancial en las tasas, pero que en DeFi no ha sido adecuadamente valorada.

La ilusión de confianza en la arquitectura de puentes entre cadenas y la ausencia de prima de riesgo

La cadena de ataques entre KelpDAO y Drift no se debe a un fallo en un código específico, sino a un problema fundamental en la arquitectura de validación ampliamente adoptada en la industria. Sandeep Nailwal, cofundador de Polygon, señaló en un artículo tras el ataque que la infraestructura actual de cadenas cruzadas es esencialmente una “arquitectura de notario”—ya sea DVN, comités de oráculos o gobernanza multisig, la lógica central depende de unos pocos validadores que respaldan las transacciones entre cadenas. Si este comité o la fuente de datos subyacente se compromete, el sistema puede validar transacciones falsas sin saberlo.

Alexander Urbelis, director de seguridad de ENS Labs, afirmó: “La firma garantiza al autor, no la verdad. Una mentira firmada sigue siendo una mentira.” Esta afirmación apunta al núcleo del problema en la arquitectura de cadenas cruzadas: el sistema solo verifica que el mensaje provenga de una fuente autorizada, pero no valida si el contenido es verdadero. Esta falla fundamental no se refleja en ningún modelo de tasas de interés.

Las tasas de depósito en DeFi actualmente reflejan principalmente la oferta y demanda de fondos, no el nivel de riesgo. En finanzas tradicionales, los rendimientos de los bonos incluyen primas por riesgo de crédito, liquidez y plazo; en DeFi, las diferencias en tasas de depósito entre activos a menudo solo reflejan subsidios de minería de liquidez, no una diferenciación real en riesgos subyacentes. La alta APY en rsETH de KelpDAO atrae a los usuarios, pero en caso de ataque, estos enfrentan pérdidas que no se corresponden con sus ganancias.

¿Por qué la reducción en la escala de fondos requiere una reevaluación del riesgo?

Las reacciones en cadena tras el incidente de KelpDAO han acelerado la reevaluación del riesgo. Analistas de JP Morgan estiman que en unos días, el valor total bloqueado en DeFi (TVL) se redujo en unos 200 mil millones de dólares. Los depósitos en Aave disminuyeron en unos 170 mil millones, y los préstamos activos en unos 55 mil millones. Standard Chartered describe esto como un “pánico de retiro”—los usuarios, al ver que los fondos robados se usan como colateral, retiran en masa, incluso llevando los depósitos netos en algunos stablecoins a cero.

La retirada masiva de fondos es en sí misma una señal clara de que el mercado está reevaluando riesgos. Cuando los inversores perciben que los rendimientos de ciertos activos no compensan los riesgos ocultos de puentes entre cadenas, concentración de colaterales y riesgos de liquidación en espiral, la reacción lógica es “votar con los pies”: aumentar las tasas para atraer fondos o preferir activos más seguros con menor rendimiento. Este proceso genera un cambio de mercado: los productos de alto rendimiento deben subir sus tasas para seguir siendo atractivos, mientras que los activos de menor riesgo ganan en atractivo relativo.

Es importante notar que Standard Chartered no ha reducido su pronóstico a largo plazo para el mercado de RWA (activos del mundo real tokenizados), manteniendo su estimación de que para 2028, el valor de mercado de estos activos alcanzará los 2 billones de dólares. Este pronóstico implica que DeFi debe mejorar en seguridad y en mecanismos de fijación de riesgos para soportar grandes flujos de capital tradicionales. La tokenización de activos del mundo real requiere alinearse con estándares tradicionales de gestión de riesgos—y en ese momento, la prima de riesgo no solo existirá, sino que será clave para determinar el flujo de fondos.

¿Puede la autoconciencia de la industria y las medidas de rescate impulsar una mejor fijación de riesgos?

Frente a esta crisis sistémica, la industria DeFi ha mostrado una respuesta rápida y coordinada. Figuras como Stani Kulechov, fundador de Aave, prometieron invertir más de 300 millones de dólares para reforzar el ratio de respaldo de rsETH y liquidar posiciones remanentes de forma controlada. KelpDAO también reforzó en 11 días la seguridad de su puente entre cadenas, actualizando la configuración de validadores a un mecanismo de 4-DVN.

Este tipo de “unidad de DeFi” en la autoconservación muestra la capacidad de colaboración en momentos de crisis, pero también plantea un riesgo: que las acciones de rescate post hoc sustituyan a una fijación de riesgos previa. Cuando los participantes del mercado asumen que en caso de pérdidas importantes, un “consorcio de pares” intervendrá para cubrir, la señal de riesgo se distorsiona aún más. Esto es similar al problema de “demasiado grande para quebrar” en finanzas tradicionales, que genera riesgos morales: evita colapsos a corto plazo, pero debilita la capacidad del mercado para detectar y valorar riesgos a largo plazo.

Una vía más sostenible sería que la prima de riesgo se internalice en los costos y tasas, en lugar de que la industria asuma los costos en momentos de crisis. Las actualizaciones técnicas en Aave V4, como la arquitectura “hub-and-spoke” y el diseño del Ethereum Economic Zone (EEZ), buscan reducir la dependencia de puentes entre cadenas—permitiendo que Layer 2 compartan liquidez en lugar de dispersarla, y logrando la sincronización y composabilidad de activos en un solo bloque. Si estas mejoras reducen la importancia sistémica de los puentes, también harán que la prima de riesgo sea más transparente y adecuada.

¿Cómo puede cambiar la perspectiva institucional la lógica de fijación de riesgos en DeFi?

La entrada de fondos institucionales siempre ha estado limitada por la madurez del sistema de evaluación de riesgos en DeFi. El análisis de JP Morgan tras KelpDAO indica que las vulnerabilidades de seguridad y los niveles de capital restringen la atracción para inversores institucionales.

Por su parte, Standard Chartered mantiene una visión optimista respecto al mercado de RWA, reconociendo que las fallas de seguridad son estructurales, pero que su capacidad de reparación ha sido demostrada. La clave para el futuro será si DeFi puede completar la transición de un modelo “basado en flujo” a uno “basado en fijación de riesgos”—esto es, si los rendimientos podrán justificarse en función de los riesgos reales, y no solo de subsidios o expectativas de rescate.

Desde la perspectiva de asignación de activos institucional, cualquier rendimiento debe estar alineado con tres elementos: primero, la volatilidad comparada con activos similares; segundo, la liquidez en relación con el horizonte de inversión; y tercero, la valoración previa de posibles fallos en la arquitectura técnica. El incidente de KelpDAO revela que las tasas actuales en DeFi subestiman estos riesgos en todos estos aspectos—la volatilidad se oculta en APYs elevados, la liquidez en narrativas de eficiencia, y los riesgos técnicos en modelos de fijación de tasas que no los consideran.

Cuando los eventos de Drift (285 millones de dólares) y KelpDAO (292 millones de dólares) en conjunto causan pérdidas superiores a 500 millones de dólares, el mercado debe enfrentarse a una pregunta fundamental: ¿los rendimientos en DeFi son suficientes para cubrir los riesgos? La respuesta aún está por verificarse, pero el modelo de Standard Chartered sugiere que la tasa razonable debería ser claramente superior al 13%.

Resumen

Los ataques en cadena a KelpDAO y Drift constituyen una prueba de resistencia forzada a la fijación de riesgos en DeFi. El informe de Standard Chartered concluye que las tasas de interés de depósito en DeFi no reflejan los riesgos en puentes, la contagiosidad de la composabilidad, ni las fallas en la autoridad de validación. El cálculo del modelo indica que la tasa razonable debería ser al menos superior al 13%, siendo esta la primera referencia cuantitativa del sector para esa brecha.

La rápida respuesta de la industria evitó un colapso sistémico, pero también confirma que la prima de riesgo aún no está adecuadamente valorada por los participantes. Lo que importa ahora no es si habrá otra brecha—esto es casi seguro—sino si el mercado podrá completar la reestructuración de la fijación de riesgos antes de que ocurra una crisis sistémica. Las mejoras técnicas en Aave V4 y en la Ethereum Economic Zone ofrecen posibilidades para reducir la exposición sistémica, pero la verdadera transformación en la fijación de riesgos requiere incorporar parámetros dinámicos en los modelos de tasas, de modo que estas reflejen los costos de seguridad reales. Solo cuando las tasas en DeFi reflejen verdaderamente los costos de seguridad, el sector podrá salir de la zona gris de rendimientos y riesgos desbalanceados, y avanzar hacia una participación institucional a escala.

FAQ

P: ¿Cómo calcula el informe de Standard Chartered que la tasa razonable debe ser superior al 13%?

El informe se basa en un modelo de evaluación de riesgos que incorpora tres tipos principales de primas: la frecuencia y magnitud de pérdidas por vulnerabilidades en contratos inteligentes, la exposición al riesgo en puentes entre cadenas, y la transmisión sistémica por la composabilidad de activos. Al integrar estos factores en un marco de valoración de riesgos, el modelo concluye que las tasas de interés en DeFi deberían ser sustancialmente mayores a las actuales. Actualmente, las tasas en plataformas principales de DeFi están por debajo de ese umbral, evidenciando una subvaloración del riesgo.

P: ¿Por qué los ataques a KelpDAO y Drift afectaron también a protocolos como Aave?

Porque en ambos casos, los fondos robados o manipulados se usaron como colateral en otros protocolos de préstamo, creando exposiciones de deuda que superan los cientos de millones de dólares. En el caso de KelpDAO, los rsETH robados se depositaron en Aave y otros protocolos, y se prestaron grandes cantidades de ETH, generando una cadena de deudas incobrables. En Drift, las manipulaciones internas y la exposición a activos en riesgo también propagaron el impacto. Este patrón de “vulnerabilidad en un protocolo—colateral en otros—propagación de riesgo” ejemplifica la naturaleza sistémica de la fragilidad en la interoperabilidad de DeFi.

P: ¿Existen diferencias entre las tasas de interés actuales y las estimadas por el modelo de Standard Chartered?

Sí, en la práctica, las tasas de interés en stablecoins en DeFi suelen estar entre el 3% y el 10%, impulsadas en gran medida por subsidios de minería de liquidez, no por una valoración del riesgo. El modelo de Standard Chartered sugiere que la tasa razonable debería ser superior al 13%, lo que indica un desfase importante. La causa principal es la subvaloración de riesgos asociados a la infraestructura de cadenas cruzadas, la concentración de colaterales y las fallas en la autoridad de validación, que no están reflejadas en las tasas actuales.