¿Todavía te atreves a jugar con DeFi? Este sabor es demasiado familiar...

El mercado cripto entra en otra noche de insomnio bajo una ola de frío. Bitcoin ha caído casi un 12% en una semana, Ethereum ha retrocedido a cerca de 3,300 dólares, y los activos de riesgo están bajo presión colectiva.

En medio de este mercado deprimido, las finanzas descentralizadas (DeFi) vuelven a estar en el ojo del huracán: el veterano protocolo Balancer v2 sufrió el mayor hackeo de su historia, con pérdidas superiores a 120 millones de dólares; poco después, la plataforma de optimización de rendimientos Stream Finance reveló una pérdida de 93 millones de dólares, y su stablecoin colateralizada xUSD cayó por debajo de 0.3 dólares.

La tormenta no terminó ahí. El riesgo provocado por Stream se está extendiendo a más protocolos a través de la “composabilidad”.
En la última reacción en cadena, la empresa de gestión de riesgos DeFi Gauntlet ha presentado una propuesta de emergencia en el foro de gobernanza de Compound, sugiriendo la suspensión temporal de los mercados de USDC, USDS y USDT en la mainnet de Ethereum para evitar la propagación del riesgo.

Los incidentes de hackeo se suceden en un contexto de debilidad del mercado, poniendo a prueba la realidad de las “finanzas sin intermediarios”:

Cuando la caída de precios se suma a los eventos de riesgo, ¿te atreves a seguir “jugando” con DeFi?

El hackeo que comenzó con Balancer

El lunes, se reveló una vulnerabilidad crítica en Balancer v2. Los atacantes explotaron un defecto lógico en los Composable Stable Pools, y en cuestión de horas sustrajeron 128 millones de dólares a través de múltiples cadenas como Ethereum, Arbitrum y Base.

Investigadores señalaron que los atacantes probablemente falsificaron “ingresos por comisiones” y activaron retiros, convirtiendo “puntos falsos” en “fondos reales”. Lo irónico es que este módulo del sistema había sido auditado más de diez veces por firmas como OpenZeppelin y Trail of Bits. Ni la reputación ni los años de experiencia técnica pudieron evitar este ataque lógico.

El responsable de estrategia de Flashbots y Lido, Hasu, comentó: “Cada vez que un contrato antiguo es vulnerado, la adopción general de DeFi retrocede entre 6 y 12 meses.”

Menos de 24 horas después, Stream Finance reveló que su “gestor externo de fondos” provocó una pérdida de activos de 93 millones de dólares. La plataforma suspendió depósitos y retiros, y la stablecoin colateralizada xUSD perdió fuertemente su paridad, cayendo de 1 dólar a 0.27 dólares.

Los datos on-chain muestran que la exposición colateral relacionada con xUSD, xBTC y xETH suma aproximadamente 285 millones de dólares, involucrando a varios protocolos de préstamos como Euler, Silo y Morpho. El TVL de varios mercados se evaporó en cientos de millones de dólares en un solo día.

Tu dinero no es tuyo: el efecto adverso de la “composabilidad”

En pocas palabras, la “composabilidad” de DeFi, su mayor atractivo, es como un set de Lego financiero: puedes combinar el pool de rendimientos del protocolo A con los préstamos del protocolo B, y usar la stablecoin del protocolo C como colateral, apilando capa tras capa.

En un mercado alcista, este juego es realmente emocionante. Los rendimientos se encadenan y la eficiencia es asombrosa. Pero muchos no se dan cuenta de que cuanto más alto se apilan los bloques, más dura será la caída.

Si el mercado se enfría o una pieza fundamental —como Balancer o Stream— falla, el riesgo se transmite en cadena como fichas de dominó siguiendo el camino construido.

Johnny Time, fundador de la empresa de seguridad Ginger Security, explicó este mecanismo de transmisión en detalle.

Muchos compraron lo que se anunciaba como la “bóveda USDC más segura” en Beefy Finance, creyendo que sus fondos estaban a salvo. Pero en realidad, el dinero nunca se quedó en Beefy, sino que fue transferido en varias capas, siguiendo esta ruta:

Beefy → Silo → Arbitrum → otra entidad llamada Valarmore → finalmente terminó en el Stream Finance que explotó.

Creías que comprabas USDC, pero en realidad estabas expuesto pasivamente a xUSD, el activo que colapsó.

En esta cadena, la plataforma frontal Beefy muestra a los usuarios una “bóveda segura de USDC”, pero los fondos son reasignados por el gestor intermedio Valarmore a la estrategia xUSD del protocolo Stream.

Johnny Time señala que el problema es que cada capa del protocolo busca maximizar el rendimiento, pero carece de mecanismos de divulgación de información y de aislamiento de riesgos.
Esta estructura “anidada” permite que el riesgo se transmita de forma invisible: los cambios en las decisiones de los protocolos aguas arriba, la volatilidad de los activos subyacentes o una mala asignación de estrategias intermedias amplifican el riesgo a lo largo del camino.
Al final, cuando el activo más bajo (como xUSD) falla, toda la estructura colapsa como un castillo de naipes.

El debate sobre la descentralización

Por ello, la discusión sobre la descentralización ha resurgido en la comunidad.

Haseeb Qureshi, socio de Dragonfly, opina: “Incluso en sistemas descentralizados, si suficientes participantes llegan a un consenso, pueden congelar cuentas o fondos.”
Pero los críticos respondieron rápidamente: “Si suficientes personas pueden acordar hacer algo, entonces pueden hacer cualquier cosa —eso en sí mismo no es descentralización.”

Este debate revela la paradoja de la gobernanza en DeFi: cuando el sistema requiere la intervención de consenso humano para detener el sangrado, los límites de la “descentralización” comienzan a difuminarse.

Vladislav Ginzburg, fundador de OneSource, considera que el riesgo es inherente al ecosistema DeFi: “La complejidad de los contratos inteligentes y la ingeniería financiera implica que los usuarios deben aceptar la incertidumbre.”
El investigador de seguridad Suhail Kakar afirma: “Que algo esté ‘auditado’ casi no significa nada. El código es difícil, DeFi es aún más difícil.”
El CTO de Komodo, Kadan Stadelmann, añade que los frecuentes incidentes de seguridad harán que los fondos institucionales eviten estructuras complejas y regresen a la estrategia “solo bitcoin”.

Nicolai Søndergaard, investigador de Nansen, señala que la vulnerabilidad explotada en Balancer se debió a la lógica de facturación y no al control de permisos —este tipo de riesgos de diseño son difíciles de detectar en auditorías y los mecanismos de gobernanza tampoco pueden responder a tiempo.

Resumen

El problema de DeFi nunca ha sido la tecnología, sino la gobernanza.
En el mercado alcista, los protocolos apilados y los altos rendimientos son atractivos; el mercado bajista revela la verdad: ninguna capa es completamente segura.

Los proyectos que sobrevivan en el futuro no ganarán por su rendimiento anualizado, sino por demostrar tres cosas:
los fondos son verificables, el riesgo es aislable y la gobernanza es ejecutable.

Para el usuario promedio, la experiencia también cambia: si ni siquiera sabes a dónde va tu dinero, es mejor comprar BTC directamente y dormir tranquilo.

En definitiva, en el mundo DeFi: el riesgo que entiendes es una oportunidad, el rendimiento que no entiendes es una trampa.

Autor: Seed.eth