Un impresionante atraco de 293 millones de dólares expone el momento de la mayoría de edad de DeFi

Durante años, las finanzas descentralizadas se vendieron con una simple promesa: el código es ley. Los contratos inteligentes, inmutables y transparentes, eliminarían las debilidades humanas que plagan las finanzas tradicionales.

Pero el exploit KelpDAO de 293 millones de dólares que ocurrió el mes pasado expuso una realidad incómoda para los constructores de infraestructura de criptomonedas: las mayores vulnerabilidades de la industria tienen cada vez menos que ver con los contratos inteligentes en sí.

En cambio, el peligro ahora radica en la extensa red de puentes, sistemas de gobernanza, seguridad operativa y dependencias de terceros que rodean el código, la desordenada capa humana y de infraestructura que sustenta la DeFi moderna.

"En la mayoría de estos casos, los contratos hicieron exactamente lo que sus autores les dijeron que hicieran", dijo a CoinDesk Eugene Mamin, jefe técnico de la Fundación Lido Labs. "Los autores simplemente no eran las personas legítimas en ese caso".

El exploit KelpDAO, vinculado a una vulnerabilidad que involucra la infraestructura puente de LayerZero, se está convirtiendo en un momento decisivo para una industria DeFi que lucha con su propia madurez.

Para los fundadores de protocolos y los investigadores de seguridad, el incidente reforzó un cambio más amplio que se está produciendo en el sector criptográfico: DeFi ya no se ocupa principalmente de luchar contra los errores de codificación. Está luchando contra su propia complejidad.

En los primeros años de DeFi, los exploits generalmente surgían de fallas en el código de contrato inteligente, errores de reentrada, manipulación de Oracle o lógica defectuosa. Hoy en día, muchos de los mayores fracasos de la industria ocurren en otro lugar.

"El riesgo de los contratos inteligentes es en gran medida un problema resuelto", dijo Sam MacPherson, director ejecutivo de Phoenix Labs, el desarrollador detrás de la plataforma financiera descentralizada Spark. "Recientemente, todos los ataques se deben a una mala seguridad operativa".

Eso no significa que los contratos inteligentes sean perfectos. Pero las herramientas de auditoría, la verificación formal, los programas de recompensas por errores y la revisión de código asistida por IA han hecho que los contratos subyacentes sean significativamente más sólidos que durante el explosivo ciclo de crecimiento de DeFi, según ambos ejecutivos.

El problema es que la propia DeFi se ha convertido en una máquina financiera altamente interconectada. Los protocolos dependen de puentes. Los puentes dependen de validadores y sistemas de mensajería. Los sistemas de gobernanza se basan en multifirmas, infraestructura en la nube, proveedores de SaaS y equipos repartidos por jurisdicciones.

Cada capa agregada crea otro punto de falla. "Cuando reutilizas la infraestructura de otra persona, heredas su modelo de amenaza", dijo Mamin de Lido.

El exploit KelpDAO demostró exactamente cuán peligrosos pueden llegar a ser esos riesgos heredados. Una debilidad en la infraestructura del puente compartido no permaneció aislada, sino que se extendió a protocolos construidos sobre ella.

"La concentración puede convertirse silenciosamente en un riesgo sistémico", dijo MacPherson de Phoenix Labs. "Si una gran parte del mercado depende de la misma infraestructura, las fallas dejan de estar aisladas y comienzan a producirse en cascada".

“Aburrido” como característica atractiva para DeFi

Mamin cree que el exploit también llega en un momento en el que los inversores en criptomonedas se están volviendo menos tolerantes a la experimentación con mucho riesgo.

“Los protocolos en los que la gente realmente confía con capital serio son los que hacen lo mismo de la misma manera, como era de esperar, durante años”, dijo Mamin. "El aburrimiento es una característica".

Los protocolos DeFi normalmente han recompensado el crecimiento, el apalancamiento y el rendimiento maximizados. A menudo se consideraba que la complejidad era innovación. Ahora, después de años de exploits, liquidaciones y fallas en cascada, los usuarios parecen estar gravitando hacia algo mucho menos emocionante: la previsibilidad.

MacPherson dijo que el mercado está empezando a recompensar los sistemas diseñados para la resiliencia en lugar del máximo beneficio.

"Durante mucho tiempo, DeFi premió el crecimiento a toda costa", dijo. "Pero cuando las condiciones se endurecen, las compensaciones ocultas se vuelven visibles".

Spark ha visto recientemente un aumento en los depósitos en parte porque los usuarios están rotando hacia mercados de préstamos más conservadores y estructuras de garantía más simples, según MacPherson.

Otra lección importante del incidente de KelpDAO es que muchos de los vectores de ataque más peligrosos de DeFi ahora se parecen a problemas comunes de ciberseguridad.

Mamin señaló las vulnerabilidades en las computadoras portátiles personales, las plataformas SaaS, los sistemas de administración de claves y las cadenas de suministro de software como algunos de los mayores riesgos no resueltos de la industria.

"La superficie de ataque ha regresado a las raíces de web2 en lugar de reducirse", dijo.

Eso crea una extraña contradicción en el corazón de las criptomonedas. La capa en cadena puede ser radicalmente transparente, pero gran parte de la infraestructura que la respalda sigue siendo opaca y difícil de auditar externamente.

La implicación es cada vez más difícil de ignorar para los usuarios: la seguridad en DeFi depende cada vez menos de si un protocolo fue auditado y más de si las personas que lo operan son disciplinadas. Eso significa firmas múltiples distribuidas geográficamente, bloqueos de tiempo, planes de respuesta a incidentes ensayados, prácticas estrictas de seguridad operativa y sistemas de gobernanza que reducen la dependencia de un solo actor.

A pesar de la serie de exploits, ni Mamin ni MacPherson creen que los incidentes invaliden por completo a DeFi. de alguna manera