Seguros en la cadena y capa de transferencia de riesgos: La pieza clave para la próxima etapa de DeFi

Introducción

Fuente: de.fi

En el último año, las pérdidas acumuladas en el ámbito DeFi alcanzaron los 2.020 millones de dólares, y solo aproximadamente el 5% de los fondos pueden recuperarse finalmente. Esta escala equivale a aproximadamente 1.1 veces el TVL de Curve Finance, lo que muestra que los incidentes de seguridad siguen erosionando la base de capital de la industria.

Desde marzo de este año, también han ocurrido varias incidencias de seguridad representativas en el sector DeFi:

Solv Protocol perdió 2.73 millones de dólares por una vulnerabilidad de repetición en la función mint(); Venus Protocol en BSC fue vulnerado por una brecha en la verificación del límite de suministro, generando 2.18 millones de dólares en deudas incobrables; Resolv Labs, por filtración de claves privadas, acuñó ilegalmente aproximadamente 80 millones de dólares en USR sin respaldo, causando una pérdida de unos 25 millones de dólares; y Drift Protocol sufrió la mayor ataque desde 2026, con pérdidas superiores a 280 millones de dólares. Los atacantes desplegaron la ruta de ataque semanas antes y, mediante ingeniería social, lograron que 2/5 de las firmas multisig aprobaran, logrando así tomar el control de los permisos administrativos y transfiriendo más de la mitad de los fondos del protocolo en poco tiempo. Además, KelpDAO también sufrió una crisis de riesgo de rsETH y una corrida de liquidez debido a incidentes de seguridad en los activos subyacentes, lo que amplificó aún más la presión en el mercado relacionada con LRT.

Estos eventos revelan una realidad brutal: por muy avanzada que sea la tecnología subyacente, los fondos de los usuarios siempre están expuestos a riesgos residuales que no se pueden eliminar por completo.

De hecho, en otros aspectos, DeFi ha establecido en los últimos años una base bastante sólida:

• Infraestructura básica: Ethereum completó The Merge, y cadenas como Base y Solana continúan ofreciendo entornos de ejecución de bajo costo y alto rendimiento, acercándose gradualmente a la estabilidad y fiabilidad de las infraestructuras financieras tradicionales.

• Préstamos / Rendimientos: Protocolos como Aave, Morpho y Kamino han formado mercados de préstamos en cadena bastante maduros; Pendle ha avanzado en la división de tasas de interés, enriqueciendo cada vez más los productos de rendimiento.

• Estrategias / Gestión de activos: Equipos especializados como Gauntlet, Steakhouse Financial y MEV Capital comienzan a participar en el mercado como «gestores de fondos en cadena», gestionando riesgos y retornos de forma activa.

Pero incluso así, toda la pila DeFi todavía presenta una brecha evidente en el eslabón clave de la “transferencia de riesgos”.

En comparación con las finanzas tradicionales: la ausencia de seguros

El sistema financiero tradicional puede soportar activos por valor de billones de dólares, apoyándose no solo en la regulación, sino en un mecanismo completo de transferencia de riesgos: los depósitos bancarios están asegurados por la FDIC, las cuentas de valores tienen respaldo de SIPC, y las transacciones institucionales se cubren con derivados de crédito.

La industria de seguros, como “amortiguador del sistema financiero”, representa aproximadamente el 6-7% del PIB mundial en primas de seguros a nivel global. Si se incluye la escala de gestión de activos que poseen las aseguradoras, su influencia en los mercados de capital supera con creces esa proporción. (1)

En comparación, los productos de seguros en cadena tienen primas que representan menos del 1% del TVL de DeFi, y esa brecha en sí misma es una señal de oportunidad de mercado.

¿Por qué es tan difícil hacer seguros en DeFi?

La dificultad radica en que los riesgos son difíciles de calcular, y los marcos tradicionales de precios de seguros no son directamente aplicables

Los riesgos que enfrenta DeFi son altamente complejos y heterogéneos, incluyendo vulnerabilidades en contratos inteligentes, desvinculación de stablecoins, fallos en oráculos, entre otros, y estos riesgos a menudo existen simultáneamente y se superponen. A diferencia del seguro tradicional, DeFi carece de datos históricos de reclamaciones suficientemente largos y verificables, lo que hace que los modelos actuariales tradicionales, que dependen de distribuciones de pérdidas a largo plazo y frecuencias de incidentes, tengan una efectividad limitada.

Al mismo tiempo, los límites de riesgo en DeFi son mucho más difusos que en el seguro tradicional. En el seguro convencional, los objetos asegurados —como viviendas, vehículos o personas— tienen límites de riesgo claros y definidos; en DeFi, la alta composabilidad entre protocolos significa que la falla de un componente subyacente puede propagarse a través de la liquidez, colaterales, estrategias de rendimiento y rutas de liquidación, generando pérdidas en cadena que cruzan protocolos. Esto hace que la cobertura, la responsabilidad y la definición de pérdidas sean mucho más difíciles de delimitar.

La eficiencia del capital es baja, dificultando competir con los retornos nativos de DeFi

El negocio de seguros requiere, en esencia, reservar una gran cantidad de fondos de reserva por adelantado para cubrir posibles reclamaciones; pero en el ecosistema DeFi, los usuarios y proveedores de liquidez prefieren asignar sus fondos a estrategias que generen mayores retornos, como préstamos, market making, arbitraje o agregadores de rendimiento.

Fuente: Nexus Mutual

En comparación, la mayoría de los pools de seguros en cadena ofrecen tasas de retorno que generalmente son inferiores a los niveles de rendimiento principales en DeFi, por lo que les resulta difícil competir por estos usos de capital más atractivos. Bajo esta restricción de costo de oportunidad, los pools de seguros suelen tener dificultades para atraer suficiente capital de suscripción, limitando aún más la profundidad y escala de la oferta de productos de seguros.

Análisis del sector

A pesar de esta brecha, ya hemos observado en cadena los primeros indicios de un ecosistema de seguros/riesgos en desarrollo:

Por un lado, están Nexus Mutual estos pools de capital que realmente asumen riesgos y transferencias de riesgo; por otro, plataformas como Catalysis y OpenCover integran mecanismos de protección en los caminos de depósitos y productos, junto con calificaciones de riesgo proporcionadas por Credora, LlamaRisk, y verificaciones de riesgo por Accountable, además de capacidades de detección en tiempo real por Hypernative, Blocksec, etc.

Definamos primero cuatro funciones principales.

• Cobertura / Suscripción: es la capa final que asume pérdidas, cobra primas y decide pagos, integrando la protección de forma nativa en el vault o en el flujo del producto, eliminando la percepción de que la cobertura es un complemento externo.

• Calificación de riesgo: convierte los riesgos en puntuaciones comparables, recomendaciones de capital y parámetros.

• Verificación: confirma que los activos, pasivos y reservas existen realmente y pueden verificarse en cadena.

• Detección: proporciona alertas, filtrado de transacciones, simulaciones o bloqueos automáticos antes de que ocurran pérdidas.

Estas cuatro capas conforman el marco de análisis de este documento.

Capa de suscripción / underwriting

El diseño central de Catalysis consiste en integrar la protección de riesgos directamente en los vaults DeFi, haciendo que la protección sea parte de la estrategia de asignación de activos, en lugar de un producto de seguro externo que el usuario debe adquirir por separado. En otras palabras, cuando un usuario deposita fondos en un vault, automáticamente obtiene protección contra ciertos riesgos, sin necesidad de buscar un seguro adicional.

En su mecanismo, Catalysis conecta a tres tipos de participantes en una cadena completa de suscripción en cadena:

Fuente: Catalysis

Primero, los restakers depositan activos como ETH, BTC o stablecoins en protocolos de restaking como EigenLayer o Symbiotic, formando un pool de seguridad económica que puede ser penalizado, constituyendo la capacidad de suscripción original del sistema; luego, estos fondos se distribuyen en diferentes CoverPools, cada uno asociado a un tipo de riesgo, como un vault de préstamo específico o estrategia de rendimiento; finalmente, los usuarios del vault pagan tarifas de cobertura, como coste por protección, y estas tarifas se distribuyen entre los restakers que proporcionan la capacidad de suscripción.(2)

¿Cómo se calcula el riesgo?

En Catalysis, la valoración del riesgo no la decide un comité de seguros caso por caso, sino que se ejecuta automáticamente mediante un modelo de parámetros predefinido por el equipo del protocolo. La lógica general es: cuanto mayor sea el riesgo, mayor será la cantidad de capital de seguridad penalizable que se debe asignar, y mayor será la tarifa de protección.

Específicamente, cada CoverPool establece capacidades de suscripción, proporciones de slashing y tarifas para diferentes tipos de vaults, para decidir cuánto capital restaked se debe bloquear como respaldo y cuánto deben pagar los usuarios en tarifas de cobertura. Estas tarifas esencialmente representan el costo de “alquilar” ese capital de respaldo.

Dado que el capital de respaldo proviene de los restakers, las tarifas también se ven influenciadas por la oferta de capital: cuando hay suficiente capital disponible, las tarifas son más bajas; cuando escasea, suben. Esto hace que la valoración del riesgo dependa tanto de los parámetros del protocolo como de la oferta y demanda del mercado.

OpenCover también forma parte de la “infraestructura de protección embebida”, pero no es el contraparte final de la suscripción, sino más bien una plataforma de distribución y estructuración de productos de protección en cadena, que empaqueta la capacidad de respaldo subyacente en módulos de protección accesibles directamente desde productos DeFi.(3)

Fuente: Opencover

En su estructura de suscripción, OpenCover no proporciona directamente capital de respaldo.

El respaldo real detrás de Vaults cubiertos lo ofrece Nexus Mutual: cuando un usuario deposita en un vault, el pool de staking de Nexus Mutual bloquea en tiempo real una cantidad correspondiente de NXM, que actúa como capital de respaldo verificable en cadena, permitiendo que la capacidad de protección se expanda en línea con la exposición de riesgo del vault. (4)

En cuanto a la valoración del riesgo, las tarifas de protección de los Vaults cubiertos no son fijas, sino que siguen la mecánica de precios dinámica de Nexus Mutual.

En resumen, los gestores del pool de suscripción establecen primero una tarifa mínima aceptable, y luego ajustan los precios en función de la oferta y demanda: cuando la demanda de protección en un vault crece rápidamente y la capacidad de suscripción se agota, el precio sube automáticamente; cuando la capacidad es suficiente y la demanda baja, el precio baja gradualmente. En conjunto, se trata de un mecanismo de precios en cadena que varía dinámicamente según el riesgo y la utilización del capital. (4)

Capa de evaluación de riesgos

Actualmente existen varias instituciones especializadas en evaluación de riesgos en DeFi, que abordan desde calificaciones crediticias, infraestructura de datos verificables y simulaciones de parámetros dinámicos, formando la base para la valoración y gestión de riesgos en seguros en cadena.

Credora es el sistema de calificación de riesgos más cercano a las agencias tradicionales como S&P o Moody’s en el ámbito DeFi, desarrollado por RedStone, que realiza evaluaciones sistemáticas de riesgos en tokens, mercados de préstamos y combinaciones de vaults, proporcionando una base cuantificable para la asignación de capital en protocolos.

Arquitectura de calificación en tres niveles

1) Calificación de tokens

Calcula la probabilidad de incumplimiento (PSL) de activos como LST y stablecoins, usando metodologías de referencia con factores de riesgo ajustados para generar puntuaciones de riesgo básicas.

2) Calificación de mercados de préstamos

Distingue diferentes estructuras de mercado:

• Mercados de colateralización aislada (como Morpho): utilizan simulaciones Monte Carlo para explorar múltiples escenarios aleatorios, estimando la probabilidad de que ocurra una pérdida significativa si un colateral específico presenta problemas.

• Mercados de colateralización (como Aave, Spark): más complejos, ya que un mismo activo puede ser reutilizado varias veces en préstamos y colaterales, amplificando riesgos en cascada. La evaluación se centra en si, en caso de un problema en el activo subyacente, esta cadena de uso puede escalar el riesgo y afectar al mercado completo. (5)

3) Calificación de estrategias de portafolio

Considera los vaults como carteras de activos multilateral, incluyendo además la capacidad del gestor y la calidad de la gobernanza.

Método de calificación

Fuente: Credora

Utiliza una escala de A+ a D, basada en datos históricos de tasas de incumplimiento de las principales agencias desde 1990 hasta 2023, y construye curvas PD mediante funciones exponenciales, permitiendo mapear las calificaciones tradicionales a distribuciones de riesgo en DeFi.

A diferencia de Credora, LlamaRisk no se centra en la calificación, sino en construir un marco de datos de riesgo verificable y en cadena, resolviendo uno de los problemas más críticos en DeFi: la confiabilidad de los datos.

Dos componentes principales

Marco SAVE (Structured Attestation & Verification Engine)

Una librería open source en TypeScript para transformar datos financieros estructurados en registros verificables en cadena, que incluye:

• Claims: declaraciones estructuradas de hechos

• Proofs: pruebas criptográficas

• Attestations: evidencias firmadas publicadas en cadena y almacenadas en IPFS

Aplicable no solo para pruebas de reservas, sino también para verificar la calidad de colaterales y la transparencia de estrategias.

LlamaGuard Suite

Con base en SAVE, un conjunto de herramientas de gestión de riesgos RWA:

• LlamaGuard Proof: prueba automática de datos financieros

• LlamaGuard NAV: oráculo de NAV con límites, basado en Chainlink

• LlamaGuard Actions: mecanismos de respuesta a riesgos con disparadores condicionales (6)

Proyectos como Aave, Curve, Midas, Ethena ya utilizan estas herramientas para evaluar riesgos, como condiciones de liquidez, cambios en utilización de fondos, desviaciones en precios de oráculos, etc. Estos datos ayudan a definir reservas, límites de deuda y otros parámetros clave.

Por otro lado, Chaos Labs es una de las plataformas de análisis de riesgos en DeFi más completas, especializada en simulaciones en tiempo real, pruebas de estrés de mercado y optimización de parámetros de riesgo.

Tres capacidades principales

Primero, monitoreo dinámico de riesgos: seguimiento en tiempo real de indicadores clave en múltiples cadenas, incluyendo tamaño total de préstamos y depósitos, utilización de fondos, eventos de liquidación, concentración de colaterales y exposición de ballenas; actualmente cubre más de 637 mil millones de dólares en activos en varias cadenas principales.

Segundo, simulación de exposición al riesgo: pruebas de estrés en escenarios extremos, como caídas abruptas en precios de colaterales, contracción rápida de liquidez o ventas concentradas, para evaluar la capacidad de pago y riesgos de pérdida en caso de eventos adversos.

Tercero, optimización de parámetros: ajuste de parámetros clave como LTV, umbrales de liquidación y curvas de interés, en función de los resultados de las simulaciones, para equilibrar eficiencia de capital y control de riesgos. (7)

Capa de verificación

La capa de verificación aborda un problema aún más fundamental: ¿los datos en cadena son realmente confiables?

Sin mecanismos confiables para verificar activos, pasivos y reservas, incluso los modelos de riesgo más sofisticados pueden basarse en premisas erróneas. Actualmente, las infraestructuras de verificación más representativas incluyen Chainlink Proof of Reserve y Accountable.

Chainlink PoR es una de las redes de verificación de reservas en cadena más maduras, principalmente para verificar que stablecoins, activos cross-chain y RWA tengan suficiente respaldo, con el objetivo principal de reducir la confianza en la veracidad de activos fuera de cadena en DeFi. (8)

Su proceso consiste en que, primero, auditores o proveedores de datos recopilan continuamente información de reservas; luego, la red descentralizada de oráculos de Chainlink verifica y consensúa los datos; cuando las reservas cambian más allá de ciertos umbrales o alcanzan intervalos de actualización, los datos se escriben en cadena para que los protocolos puedan acceder a ellos. (8)

El valor clave de PoR radica en que no solo muestra datos, sino que también puede integrarse en la lógica del protocolo:

• Secure Mint: solo permite nuevas emisiones cuando las reservas son suficientes, evitando emisiones sin respaldo.

• Circuit Breaker: en caso de anomalías en el colateral, puede activar automáticamente pausas en préstamos u otras operaciones.

Accountable Capital es una solución que complementa las limitaciones del PoR tradicional: solo verifica activos, no pasivos.

Fuente: Accountable

Ver solo los activos no basta para demostrar la salud de una institución, ya que puede tener pasivos ocultos mayores. La clave de Accountable es usar pruebas de conocimiento cero (ZKP) para verificar simultáneamente activos y pasivos sin revelar información sensible, proporcionando una prueba más completa de la capacidad de pago.

Modo de operación

Su arquitectura central, la Red de Verificación de Datos (DVN), integra continuamente diversas fuentes de datos, incluyendo direcciones en cadena, cuentas en custodia, cuentas bancarias, sistemas internos y posiciones en contratos, y genera ZKPs encriptados localmente que demuestran si una entidad tiene suficiente capacidad de pago neta, sin exponer direcciones, claves API o estrategias de transacción. (9)

En comparación con solo verificar la existencia de reservas, Accountable valida el estado financiero global, siendo especialmente útil para estrategias institucionales que requieren revelar apalancamiento, posiciones de cobertura y obligaciones de pasivos de forma continua.

Capa de detección de riesgos

La capa de detección aborda otra cuestión clave: ¿los ataques pueden ser detectados y bloqueados a tiempo antes de causar pérdidas?

La auditoría corresponde a una revisión estática previa a la implementación, mientras que la detección en tiempo real funciona como un “sistema inmunológico” activo tras el despliegue del protocolo. Uno de los principales ejemplos es Hypernative.

Fuente: Hypernative

La capacidad central de Hypernative consiste en monitorear continuamente actividades anómalas desde múltiples dimensiones, usando aprendizaje automático, simulaciones de transacciones, análisis de grafos y vigilancia de mempool. Es decir, no solo detecta vulnerabilidades en los contratos, sino que también identifica indicios de ataques en preparación, como rutas de transacción sospechosas, desviaciones en oráculos, operaciones de gobernanza anómalas, phishing en front-end o comportamientos relacionados entre protocolos. (10)

Lo valioso de esta detección es que puede integrarse directamente con acciones automáticas de gestión de riesgos: cuando el sistema detecta un riesgo elevado, el protocolo puede pausar mercados, congelar funciones específicas, ajustar LTV o límites de préstamo, aislar activos sospechosos, e incluso bloquear transacciones antes de que se confirmen en bloque.

A diferencia de las auditorías tradicionales, que solo ofrecen informes estáticos previos, estos sistemas de detección proporcionan protección continua en funcionamiento: las auditorías responden a “¿qué problemas pueden existir?”, mientras que la detección responde a “¿está ocurriendo algo en este momento?”.

Perspectivas

Para que el mercado de seguros en DeFi alcance una escala significativa, todavía hay varias cuestiones clave que deben resolverse.

Primero, los retornos del capital de suscripción son generalmente bajos, y en comparación con otras oportunidades en cadena, su atractivo es claramente insuficiente. Ya sea en préstamos, market making o estrategias de agregación de rendimiento, los fondos suelen encontrar opciones con mayores retornos.

Por lo tanto, la cuestión vuelve a la lógica fundamental de oferta y demanda: si la recompensa por el capital de seguros no es suficientemente alta, ¿quién estará dispuesto a proveer capital a largo plazo para asumir estos riesgos residuales?

Segundo, para que la capa de seguros funcione realmente, el fondo de respaldo debe ser lo suficientemente grande para cubrir pérdidas de eventos de seguridad de mediano a gran tamaño. Incidentes tipo cisne negro pueden generar pérdidas potenciales de cientos de millones de dólares.

Por supuesto, la gestión de riesgos no debe recaer únicamente en la capa de seguros; los protocolos también deben implementar mecanismos como timelocks y límites de retiro para evitar que la liquidez se agote en un solo evento. Pero incluso así, el fondo de seguros necesita tener una escala considerable para ofrecer protección efectiva.

Más importante aún, en comparación con las finanzas tradicionales, los incidentes de seguridad en DeFi ocurren con mayor frecuencia y en caminos de ataque más diversos, lo que implica que la cantidad de capital que la capa de seguros debe soportar será mayor, dificultando su expansión.

Tercero, el diseño de “estructuras de stop-loss” en los protocolos DeFi todavía es claramente insuficiente, dificultando que la capa de seguros pueda valorar riesgos de forma efectiva.

Desde la perspectiva del seguro, una cuestión clave no es si ocurrirá un ataque, sino si, en caso de que ocurra, las pérdidas pueden ser limitadas estructuralmente. La realidad es que muchos protocolos aún permiten a los administradores realizar transferencias de fondos, cambios en parámetros o actualizaciones de contratos en muy poco tiempo; si se vulneran estos permisos, las pérdidas pueden ser “liberadas instantáneamente”, con una LGD (pérdida dada la incumplimiento) cercana al 100%.

En este escenario, el fondo de seguros asume un riesgo residual infinito, casi imposible de asegurar comercialmente.

En cambio, si los protocolos incorporan en su diseño mecanismos como:

• Límites en retiros (rate limits)

• Límites en transacciones individuales o diarios

• Listas blancas de flujos de fondos predefinidos

• Timelocks obligatorios

se puede reducir significativamente la magnitud de las pérdidas en un solo ataque, transformando el riesgo de “catástrofe” a “cuantificable”, permitiendo que la capa de seguros establezca precios razonables.

Cuarto, la estructura técnica subyacente en DeFi todavía presenta muchas “zonas desconocidas”, lo que significa que los protocolos en cadena siguen expuestos a nuevas superficies de ataque en constante evolución.

Casos recientes ilustran esto: el problema de Drift surgió por la filtración del clave privada del administrador mediante ingeniería social; el incidente de KelpDAO estuvo relacionado con la vulnerabilidad en su configuración de verificación 1-de-1. Cuando se recibe un mensaje cross-chain a través de LayerZero, la liberación de fondos solo la verifica un nodo único, creando un punto único de fallo.

Este tipo de riesgos no siempre provienen de vulnerabilidades en el código, sino también de fallos en permisos, validaciones cross-chain, procesos operativos o errores humanos. En otras palabras, en cadena no solo hay “riesgos conocidos” que gestionar, sino también una gran cantidad de riesgos potenciales aún no identificados.

Aunque ya existen plataformas como Hypernative para monitoreo en tiempo real, y herramientas de evaluación de riesgos como Chaos Labs y LlamaRisk, el marco completo de gestión de riesgos en DeFi todavía requiere más tiempo de desarrollo para madurar y ser confiable.

1. More about: sigma 03,19 Nov 2024

Sobre Gate Ventures

Gate Ventures es el departamento de inversión de riesgo de Gate, enfocado en infraestructura descentralizada, ecosistemas y aplicaciones, con la misión de transformar el mundo en la era Web 3.0. Gate Ventures colabora con líderes globales del sector, empoderando a equipos y startups innovadoras para redefinir las interacciones sociales y financieras.

Para más información, visita: sitio web | X | Telegram | LinkedIn | Medium

Aviso legal :

Este contenido no constituye ninguna invitación, oferta o asesoramiento. Antes de tomar decisiones de inversión, siempre busca asesoramiento profesional independiente. Ten en cuenta que GateVentures puede restringir o prohibir todos o algunos servicios en regiones restringidas. Para más detalles, lee el acuerdo de usuario en el enlace: * .