Así que he estado siguiendo lo que ha estado sucediendo en DeFi este abril, y honestamente, ha sido difícil. Estamos viendo más de $600m en pérdidas reportadas solo este mes, y el patrón es bastante revelador: esto no es solo una brecha de clave o una vulnerabilidad aislada. Es un problema sistémico que se está extendiendo a través de múltiples capas del ecosistema.

Permíteme desglosar lo que ocurrió. Los dos incidentes principales que causaron la mayor parte del daño fueron la situación de rsETH de Kelp DAO y Drift Protocol. Kelp DAO sufrió una pérdida de alrededor de $292m cuando alguien explotó una vulnerabilidad en un puente para acuñar activos no respaldados. No fue un drenaje tradicional, pero los efectos en cadena en plataformas integradas crearon un riesgo sistémico serio, especialmente para los protocolos de préstamo que mantenían el activo. Luego, Drift Protocol fue afectado por manipulación de colaterales y problemas de acceso: los informes sugieren que también impactó a cientos de millones.

Pero aquí está lo interesante. Más allá de estos casos destacados, existe toda una capa de exploits de tamaño medio que siguen surgiendo. Rhea Finance perdió 7.6 millones de dólares por contratos de tokens fraudulentos y manipulación de oráculos. Grinex Exchange reportó un drenaje de 13.7 millones de dólares en varias direcciones. GiddyDefi fue hackeado por 1.3 millones de dólares a través de una falla en la validación de autorización vinculada a la repetición de firmas: eso es una brecha de clave de un tipo diferente, más operativa que técnica.

Luego están cosas como el incidente de 1.2 millones de dólares de CoW Swap por secuestro de dominio. Ese es particularmente interesante porque muestra que la superficie de ataque se extiende mucho más allá de los contratos inteligentes. Hablamos de infraestructura, gestión de claves, control de dominios: toda la pila.

Incluso los casos menores te dicen algo. Silo Finance, Aethir, Dango, Scallop, Volo Protocol: todos tuvieron sus propios problemas. Configuración incorrecta de oráculos, brechas en el control de acceso, fallas en la lógica del contrato, incluso compromiso de claves privadas en algunos casos. Dango, de hecho, recuperó fondos mediante intervención de white-hats, lo cual al menos es algo.

Lo que realmente me llama la atención es lo fragmentado que se ha vuelto este panorama de riesgos. Tienes exploits que afectan la lógica de contratos inteligentes, sistemas de gestión de claves, infraestructura de dominios, puentes entre cadenas y parámetros de protocolos, todo al mismo tiempo. No es un solo punto de fallo: son múltiples vectores simultáneamente.

La adición más reciente a la lista es el protocolo de perpetuos de Aftermath. Ellos revelaron una brecha de clave que permitió establecer tarifas negativas para los constructores, costándoles alrededor de 1.14 millones de dólares. El protocolo fue pausado, pero otros productos siguieron funcionando.

La conclusión aquí es que las pérdidas de abril revelan algo más profundo que solo errores en el código. El riesgo en DeFi abarca desde vulnerabilidades técnicas hasta seguridad operativa y arquitectura del sistema. Hasta que el ecosistema comience a abordar las tres capas simultáneamente, probablemente seguiremos viendo que este patrón se repite.