coindesk.com
Durante años, las finanzas descentralizadas se promocionaron con una promesa sencilla: el código es la ley. Los contratos inteligentes, inmutables y transparentes, eliminarían las debilidades humanas que afectan a las finanzas tradicionales.
Pero la explotación de 293 millones de dólares a KelpDAO ocurrida el mes pasado expuso una realidad incómoda para los constructores de infraestructura cripto: el las mayores vulnerabilidades de la industria cada vez tienen menos que tienen que ver con los contratos inteligentes en sí mismos.
En cambio, el peligro ahora radica en la extensa red de puentes, sistemas de gobernanza, seguridad operativa y dependencias de terceros que rodean el código, la compleja capa humana e infraestructural que sustenta la DeFi moderna.
“Los contratos en la mayoría de estos casos hicieron exactamente lo que sus autores les indicaron,” dijo Eugene Mamin, maestro técnico principal en Lido Labs Foundation, a CoinDesk. “Simplemente, los autores no eran las personas legítimas en ese caso.”
La explotación de KelpDAO, vinculada a una vulnerabilidad en la infraestructura del puente de LayerZero, se está convirtiendo en un momento definitorio para una industria DeFi que lucha con su propia madurez.
Para los fundadores de protocolos y los investigadores de seguridad, el incidente reforzó un cambio más amplio que está ocurriendo en el ámbito de las criptomonedas: DeFi ya no se enfrenta principalmente a errores de codificación. Ahora lucha contra su propia complejidad.
En los primeros años de DeFi, las explotaciones generalmente se originaban en fallos del código de los contratos inteligentes, errores de reingreso, manipulación de oráculos o lógica defectuosa. Hoy en día, muchas de las fallas más grandes de la industria ocurren en un lugar completamente diferente.
“El riesgo de los contratos inteligentes es en gran medida un problema resuelto,” dijo Sam MacPherson, CEO de Phoenix Labs, el desarrollador detrás de la plataforma de finanzas descentralizadas Spark. “Recientemente, todos los hacks han sido consecuencia de una mala seguridad operativa.”
Eso no significa que los contratos inteligentes sean perfectos. Pero las herramientas de auditoría, la verificación formal, los programas de recompensas por detección de errores y la revisión de código asistida por IA han hecho que los contratos subyacentes sean significativamente más robustos que durante el ciclo de crecimiento explosivo de DeFi, según ambos ejecutivos.
El problema es que DeFi en sí misma se ha transformado en una máquina financiera altamente interconectada. Los protocolos dependen de puentes. Los puentes dependen de validadores y sistemas de mensajería. Los sistemas de gobernanza dependen de multisigs, infraestructura en la nube, proveedores SaaS y equipos distribuidos en distintas jurisdicciones.
Cada capa añadida crea otro punto de falla. “Cuando reutilizas la infraestructura de otra persona, heredas su modelo de amenazas,” dijo Mamin de Lido.
La explotación de KelpDAO demostró exactamente cuán peligrosos pueden volverse esos riesgos heredados. Una vulnerabilidad en la infraestructura compartida de puentes no permaneció aislada, sino que se extendió en cascada a los protocolos construidos sobre ella.
“La concentración puede convertirse silenciosamente en un riesgo sistémico,” dijo MacPherson de Phoenix Labs. “Si demasiado del mercado depende de la misma infraestructura, las fallas dejan de ser aisladas y comienzan a propagarse.”
“Aburrido” como una característica atractiva para DeFi
La vulnerabilidad también se produce en un momento en que los inversores en criptomonedas están mostrando una menor tolerancia hacia la experimentación con alto riesgo, afirmó Mamin.
“Los protocolos en los que la gente realmente confía con capital serio son aquellos que hacen lo mismo de la misma manera, de forma predecible, durante años,” dijo Mamin. “Aburrido es una característica.”
Los protocolos DeFi típicamente han recompensado el crecimiento maximizado, el apalancamiento y el rendimiento. La complejidad a menudo se consideraba innovación. Ahora, después de años de explotaciones, liquidez forzada y fallos en cascada, los usuarios parecen estar gravitándose hacia algo mucho menos emocionante: la predictibilidad.
MacPherson dijo que el mercado está comenzando a recompensar los sistemas diseñados para la resiliencia en lugar de la máxima rentabilidad.
“Durante mucho tiempo, DeFi recompensó el crecimiento a cualquier costo,” dijo. “Pero cuando las condiciones se endurecen, los compromisos ocultos se hacen visibles.”
Chispa ha visto recientemente un aumento en los depósitos en parte porque los usuarios están rotando hacia mercados de préstamos más conservadores y estructuras de colateral más simples, según MacPherson.
Otra lección trascendental del incidente de KelpDAO es que muchos de los vectores de ataque más peligrosos de DeFi ahora se asemejan a problemas comunes de ciberseguridad.
Mamin señaló vulnerabilidades en laptops personales, plataformas SaaS, sistemas de gestión de claves y cadenas de suministro de software como algunos de los mayores riesgos no resueltos de la industria.
“La superficie de ataque ha vuelto a sus raíces en web2 en lugar de reducirse,” dijo.
Esto crea una extraña contradicción en el corazón de las criptomonedas. La capa onchain puede ser radicalmente transparente, pero gran parte de la infraestructura que la respalda sigue siendo opaca y difícil de auditar externamente.
La implicación se está volviendo cada vez más difícil de ignorar para los usuarios: la seguridad en DeFi depende cada vez menos de si un protocolo fue auditado y más de si las personas que lo operan son disciplinadas. Esto significa multisigs geográficamente distribuidos, bloqueos temporales, planes de respuesta a incidentes ensayados, prácticas estrictas de seguridad operativa y sistemas de gobernanza que reducen la dependencia de cualquier actor individual.
A pesar de la serie de exploits, ni Mamin ni MacPherson creen que los incidentes desvirtúen completamente a DeFi. En cierto sentido, argumentan, la industria está finalmente entrando en una fase más sostenible. MacPherson considera que la ventaja a largo plazo de DeFi no radica en eliminar el riesgo, sino en hacerlo visible.
“El colateral, la liquidez y las exposiciones son visibles en la cadena de bloques en tiempo real,” dijo. “El desafío es combinar esa transparencia con una gestión de riesgos madura.”
Eso podría convertirse en el desafío definitorio del sector durante los próximos años: transformar las criptomonedas de una capa de experimentación de alta velocidad en una infraestructura financiera capaz de soportar estrés.