Cryptonews

Las plataformas financieras descentralizadas, que alguna vez fueron el objetivo de los inversores minoristas, ahora introducen nuevas vulnerabilidades a la combinación.

Source
CryptoNewsTrend
Published
Las plataformas financieras descentralizadas, que alguna vez fueron el objetivo de los inversores minoristas, ahora introducen nuevas vulnerabilidades a la combinación.

Los protocolos de rendimiento automatizados crearon el discurso minorista más persuasivo de DeFi de que depositar en una bóveda era todo lo que un usuario debía hacer, y que el protocolo se encargaba de todo lo demás.

Para los usuarios que desean exponerse a los rendimientos aumentados de Curve sin administrar manualmente los bloqueos de $CRV, el poder de voto, los envoltorios, los indicadores y los incentivos, Stake DAO ofreció un producto que empaquetaba la pila completa detrás de una interfaz simple y, al hacerlo, también empaquetaba lo que podía romperse.

Según Blockaid, un atacante acuñó más de 5,4 billones de vsdCRV en Arbitrum a través de un presunto compromiso de una clave de implementación y comenzó a intercambiar tokens por $ETH.

El atacante alteró la configuración de pares relacionada con LayerZero para falsificar un mensaje entre cadenas antes de acuñar 5.446.744.073.709 vsdCRV, convirtiendo una parte en aproximadamente 43,78 $ETH, con una liquidez que limita la extracción realizada muy por debajo de la acuñación nominal.

Stake DAO dijo a los usuarios que no interactuaran con vsdCRV mientras la situación estuviera activa. El incidente se extendió a Curve, que advirtió a los usuarios en un mercado Arbitrum LlamaLend afectado, y Beefy Finance detuvo una bóveda conectada con exposición a Curve y Convex.

Los Liquid Lockers de Stake DAO permiten a los usuarios depositar tokens de gobernanza como $CRV, recibir sdTokens líquidos y acceder a un mayor rendimiento y exposición a la gobernanza sin administrar directamente la pila de bloqueo de curvas.

La interfaz de la bóveda oculta todo eso y, al hacerlo, también oculta las claves del implementador, la confianza de mensajería entre cadenas, la contabilidad del token contenedor y las dependencias de Oracle por las que viajó el exploit.

Una infografía que contrasta los cuatro pasos que los usuarios ven en las bóvedas de rendimiento automatizadas con las siete capas de riesgo ocultas que heredan debajo.

El rendimiento automatizado elimina la complejidad de DeFi, una reubicación que solo se vuelve visible cuando algo en la capa oculta se rompe.

Ido Ben-Natan, cofundador y director ejecutivo de Blockaid, describió la desconexión de seguridad en una nota:

"Dondequiera que haya valor en la cadena, habrá atacantes que intentarán explotarlo, y eso es cierto independientemente de cuán simple o compleja sea la estrategia de un protocolo. Aquí importan dos cosas. Primero, si los protocolos tienen la infraestructura de gobernanza adecuada para garantizar que no haya un punto fácil de fallar para explotar. Segundo, tener una herramienta de seguridad en la cadena en tiempo real que valide cada transacción antes de su ejecución".

El cálculo más amplio

Abril de 2026 fue el peor mes en cuanto a exploits en DeFi, con aproximadamente 635 millones de dólares extraídos en 28 incidentes, impulsados por ingeniería social, suplantación de puentes y reconocimiento asistido por IA.

Manuel Aráoz, cofundador de OpenZeppelin y director tecnológico hasta 2019, escribió que ahora considera que “todo” DeFi es inseguro porque los agentes codificadores de IA se han vuelto “sobrehumanos” a la hora de encontrar vulnerabilidades, mientras que los defensores deben corregir todos los errores y los atacantes solo necesitan uno.

Un gráfico de datos que muestra abril de 2026 como el peor mes de explotación de DeFi, con una pérdida de 635 millones de dólares en 28 incidentes y una moneda falsa de 5,4 billones de vsdCRV.

OpenZeppelin rechazó públicamente esa afirmación, afirmando que las publicaciones de Aráoz no reflejan la posición de la empresa. La asimetría que describe, sin embargo, ha llamado mucho la atención más allá de la disputa sobre la atribución.

Ben-Natan pone la ventaja defensiva en herramientas en tiempo real y detección de amenazas adaptativa:

"Los piratas informáticos aprovechan cada vez más la IA para moverse más rápido y encontrar nuevos vectores de ataque. Sin embargo, los proveedores de ciberseguridad en cadena como Blockaid tienen una amplia experiencia en el uso de la IA para mantenerse a la cabeza. Analizamos y nos adaptamos continuamente a nuevos patrones de amenazas en tiempo real, utilizando agentes de IA para investigaciones, simulaciones y coincidencia de patrones maliciosos".

Esa capacidad en tiempo real hace que la validación de transacciones sea una contramedida viable a la velocidad que están ganando los atacantes, y para los protocolos de rendimiento automatizados, los controles de gobernanza y el monitoreo se han convertido en la capa de seguridad real de la que depende la interfaz de la bóveda.

La próxima bóveda

En el caso bajista, más compromisos clave, incidentes de puentes, contagio de oráculos y pausas de bóvedas generan un descuento de abstracción en productos de rendimiento automatizados.

Los usuarios exigen mayores retornos para compensar el riesgo oculto de la pila, lo que hace que sea más difícil mantener el rendimiento con un solo clic sin una divulgación explícita del riesgo, y las bóvedas más pequeñas pierden TVL a medida que las integraciones se vuelven reguladas por el riesgo.

El patrón de incidentes que definió abril se extiende durante el resto del año, y cada nuevo incidente refuerza la percepción de que la automatización del rendimiento agrupa riesgos que los usuarios no pueden evaluar de forma independiente.

En el caso del toro, los protocolos adoptan la arquitectura que describe Ben-Natan, que consiste en controles de gobernanza que eliminan los puntos fáciles de falla, validación de transacciones en tiempo real y monitoreo continuo de patrones de amenazas, y el rendimiento automatizado sobrevive en una forma más estandarizada.

La verificación formal, los controles multifirma y el monitoreo del tiempo de ejecución se convierten en la infraestructura predeterminada, y los productos que conservan la confianza minorista son aquellos que divulgan y administran la pila de dependencias.

Los proveedores de seguridad y los paneles de riesgo están integrados en la propia interfaz de la bóveda, y la ventaja competitiva m

Las plataformas financieras descentralizadas, que alguna vez fueron el objetivo de los inversores minoristas, ahora introducen nuevas vulnerabilidades a la combinación.