Durante años, las finanzas descentralizadas (DeFi) han defendido la filosofía de “el código es ley”, confiando en que los contratos inteligentes podrían eliminar el error humano. Sin embargo, el hackeo de KelpDAO del mes pasado, que resultó en pérdidas por un total de 293 millones de dólares, ha obligado a los desarrolladores de infraestructura cripto a enfrentar una nueva realidad: las mayores amenazas del sector provienen cada vez más no de fallos en la codificación de contratos inteligentes, sino de errores humanos y sistémicos complejos en torno a la infraestructura tecnológica.
Riesgos críticos: Puentes y sistemas de gobernanza
La brecha de KelpDAO explotó una vulnerabilidad en un puente basado en LayerZero. Este incidente ha cambiado el enfoque de los protocolos DeFi y los investigadores de seguridad lejos de los simples errores de código, hacia los eslabones débiles dentro de la infraestructura central. Un número creciente de pérdidas recientes surgen no directamente del código, sino de fallos en puentes, sistemas de gobernanza, servicios en la nube y las conexiones entre equipos.
Eugene Mamin, Director de Tecnología de la Fundación Lido Labs, dijo a CoinDesk que mientras la mayoría de los contratos funcionan exactamente como los programaron sus desarrolladores, las vulnerabilidades emergen cuando personas no autorizadas se involucran en roles críticos.
“En la mayoría de los casos, los contratos hicieron exactamente lo que los programadores codificaron. El problema era que los programadores no eran realmente las autoridades legítimas.”
Sam MacPherson, CEO de Phoenix Labs, también destacó que las mayores pérdidas recientes ahora se deben a brechas en la seguridad operacional en lugar de a vulnerabilidades de código.
“Desde hace mucho tiempo, prácticamente todos los ataques han provenido de una mala seguridad operacional”, explicó MacPherson.
Nuevas amenazas del crecimiento de la infraestructura
A medida que el ecosistema DeFi crece, los protocolos se vuelven cada vez más interdependientes. Los protocolos dependen de puentes, que a su vez dependen de validadores y sistemas de retransmisión, mientras que los mecanismos de gobernanza se basan en marcos de firmas múltiples y servicios en la nube. Cada nueva capa introduce un nuevo punto de riesgo potencial.
Mamin observó que cuando se integra una infraestructura externa, también se heredan sus riesgos. El ataque de KelpDAO dejó claro que una vulnerabilidad en un puente compartido puede afectar a cada protocolo y aplicación construida sobre esa infraestructura.
“La concentración del mercado puede convertirse en un riesgo sistémico. Si demasiados actores dependen de la misma infraestructura, los problemas ya no permanecen aislados sino que comienzan a extenderse”, explicó Mamin.
El fuerte aumento de este tipo de pérdidas en los últimos años ha revelado que la misma complejidad se ha convertido en una amenaza para la seguridad dentro de la industria.
Prioridades de los usuarios y un nuevo enfoque de seguridad
Estos desarrollos están ahora moldeando las preferencias de los inversores también. Mamin cree que el gran capital se está dirigiendo hacia protocolos que han demostrado estabilidad y previsibilidad a largo plazo. MacPherson señaló un cambio en el mercado, con sistemas enfocados en la gestión de riesgos ganando favor, y usuarios buscando protocolos que ofrezcan préstamos conservadores y modelos de garantía más simples.
El incidente de KelpDAO ha subrayado que muchos vectores de ataque de DeFi ahora se asemejan a los de la ciberseguridad tradicional. La infraestructura central, incluidos los servidores en la nube, las plataformas SaaS y los sistemas de gestión de claves, pueden albergar vulnerabilidades significativas.
“La superficie de ataque en realidad ha revertido a los fundamentos centrales de internet, en lugar de reducirse”, comentó Mamin.
A pesar de la transparencia en la cadena promovida por DeFi, este entorno también significa que las auditorías externas de la infraestructura son difíciles y a menudo permanecen opacas.
No obstante, los líderes del sector creen que estos contratiempos no significan el fin de DeFi. Por el contrario, la naturaleza transparente de DeFi y la visibilidad abierta del riesgo se citan como fortalezas distintivas. Sam MacPherson señaló que la liquidez y las garantías en tiempo real son claramente observables en la cadena; para él, el verdadero desafío radica en combinar esta transparencia con una gestión madura del riesgo.
