La resiliencia de las finanzas descentralizadas prevalece en medio de miles de millones en retiros y violaciones de seguridad de alto perfil
La conclusión más fácil después de un exploit de 290 millones de dólares y una caída de aproximadamente 13 mil millones de dólares en el valor total bloqueado de DeFi es que las finanzas descentralizadas están rotas nuevamente. También es probablemente el más vago.
El exploit de KelpDAO durante el fin de semana fue grave. Parece haber comenzado con un ataque dirigido a la infraestructura utilizada en la pila de verificación de LayerZero, no un error de contrato inteligente como se ve comúnmente en otros exploits. LayerZero vinculó preliminarmente el incidente con el Grupo Lazarus de Corea del Norte y dijo que el ataque tuvo éxito porque Kelp había optado por una configuración de verificador único a pesar de las repetidas recomendaciones de usar una configuración más resistente. El exploit dejó a rsETH (un token de participación líquida emitido por KelpDAO) sin respaldo y generó temores de que las deudas incobrables se extendieran a los mercados de préstamos, especialmente al grupo WETH de Aave (donde los usuarios piden prestado ether envuelto contra una garantía).
Y, sin embargo, la historia más interesante no es que DeFi se haya visto afectado. Es que DeFi sigue aquí.
El capital huyó rápidamente después de la infracción. Solo Aave experimentó $ 8,45 mil millones en salidas de dinero durante 48 horas, mientras que el TVL de DeFi más amplio cayó al rango medio de $ 80 mil millones, aproximadamente de regreso a donde se encontraba el sector en este punto el año pasado. En otras palabras, se trató de una fuerte revaluación del riesgo, no tan destructiva como algunos pretenden.
Aave, el mercado de préstamos DeFi más grande, había acumulado una cantidad significativa de rsETH como garantía en las semanas previas al exploit, mientras los usuarios construían posiciones apalancadas. La escala de esa caída del TVL también justifica algo de contexto. Un robo de 292 millones de dólares no produce directamente una disminución de 13 mil millones de dólares a menos que una parte significativa de ese TVL ya fuera garantía reciclada. Gran parte de la exposición a $ETH de Aave de cara al fin de semana se concentró en estrategias de bucle, donde los usuarios depositan tokens líquidos de recuperación, piden prestado $ETH contra ellos, los intercambian por más tokens de recuperación y repiten. En otras palabras, el mismo conjunto de activos puede contarse varias veces en el cálculo del TVL. Ese apalancamiento infla TVL en el camino hacia arriba y se deshace bruscamente durante eventos como este. Es probable que la pérdida neta de capital real sea una fracción de la cifra principal, aunque la cantidad exacta es difícil de aislar dado lo profundamente que están integradas las estrategias de bucle en los cálculos de TVL de DeFi.
[insertar el gráfico 1 aquí]
Esas estrategias fueron en parte producto de un entorno de rendimiento que ya había dejado de tener sentido. A principios de abril, Aave ofrecía un APY del 2,61% en depósitos en USDC, por debajo del 3,14% disponible en efectivo inactivo en Interactive Brokers, una correduría financiera tradicional. La prima de riesgo que históricamente justificó la complejidad de DeFi y la exposición a los contratos inteligentes había desaparecido en gran medida. Dado que el rendimiento orgánico era insuficiente, el apalancamiento llenó el vacío, y esa concentración es lo que hizo que el contagio de rsETH fuera tan dañino. Los datos de DefiLlama muestran que los saldos de reETH en Aave habían crecido rápidamente en las semanas previas al exploit, alcanzando casi 580.000 tokens (1.300 millones de dólares), evidencia de que la acumulación de apalancamiento hizo que la posterior caída fuera tan pronunciada.
Las criptomonedas han sobrevivido a cosas peores
La frase "DeFi está muerta" aparece después de cada hackeo porque las fallas son visibles e inmediatas, mientras que la recuperación es más lenta y menos cinematográfica. Pero las criptomonedas han visto cosas peores. Terra colapsó y vaporizó la confianza en todo el sector. Wormhole y Ronin perdieron aproximadamente mil millones de dólares cada uno. La multicadena se deshizo.
"DeFi no murió cuando Terra colapsó y causó miles de millones en liquidaciones y pérdidas", escribió un comerciante seudónimo en X. "DeFi no murió cuando Wormhole y Ronin fueron drenados por alrededor de mil millones de dólares. DeFi no murió cuando los activos del puente Multichain fueron robados".
Más recientemente, Bybit sufrió lo que fue ampliamente descrito como el mayor robo de criptomonedas jamás registrado, perdiendo alrededor de 1.500 millones de dólares en febrero pasado, pero continuó operando, procesó un aumento en los retiros, restauró reservas y todavía maneja miles de millones de dólares en volumen de operaciones cada día.
La revaloración de la confianza
0xNGMI, fundador de DefiLlama, dijo a CoinDesk que las pérdidas son significativas pero es poco probable que sean existenciales. "Aave tiene muchos recursos para cubrir la pérdida, incluida su tesorería y la toma de préstamos, y creo que tendrán que usarse para proteger el protocolo", dijo. "En general, es una pérdida significativa, pero que se recuperará. El mayor problema será el impacto en las primas de riesgo asignadas a DeFi".
Esas primas de riesgo son un costo real y duradero. El capital exigirá más compensación por permanecer en sistemas en cadena cuya superficie de ataque ahora se extiende más allá del código.
Aún así, la revisión de precios no es lo mismo que el colapso. "Parte del dinero volverá", dijo 0xNGMI. "Ya vimos esto antes en Aave cuando aparecieron rumores de un hackeo. Siempre es la mejor estrategia retirar y volver a depositar más tarde, ya que el costo es pequeño y la recompensa muy grande". Algunos depósitos no regresarán, pero históricamente las salidas de depósitos durante eventos de estrés se revierten a medida que las condiciones se estabilizan, como quedó evidenciado después del colapso de Terra en 2021.
También hay evidencia de que el capital no está simplemente abandonando DeFi. Está girando.