El pasado fin de semana, una brecha de seguridad dirigida a KelpDAO causó conmoción en el sector de las finanzas descentralizadas (DeFi), eliminando aproximadamente $13 mil millones del valor total bloqueado (TVL) en todo el ecosistema. El ataque no se dirigió a las vulnerabilidades tradicionales de contratos inteligentes, sino a una debilidad fundamental en la infraestructura de verificación de LayerZero.
Brecha de KelpDAO y sus Impactos Inmediatos
El análisis inicial sugiere que el notorio grupo Lazarus, que se cree tiene vínculos con Corea del Norte, pudo haber orquestado el incidente. Los representantes de LayerZero enfatizaron que la dependencia de KelpDAO en un único validador en su infraestructura fue un error crítico, especialmente porque expertos habían advertido anteriormente al proyecto para implementar múltiples validadores. A raíz de la brecha, el token de staking líquido de KelpDAO, rsETH, perdió su respaldo, causando riesgos crecientes en las plataformas de préstamos, especialmente dentro del pool de ETH de Aave.
Tras la brecha, los usuarios se apresuraron a salir de sus posiciones en DeFi, produciendo salidas que totalizaron $8.45 mil millones de Aave en solo 48 horas. Como resultado, los activos totales de DeFi cayeron bruscamente a un rango medio de $80 mil millones, retrocediendo efectivamente a niveles vistos un año antes.
Apalancamiento, Cifras de TVL y Vulnerabilidades del Mercado
En las semanas previas al ataque, Aave ya se había vuelto más arriesgado a medida que los usuarios utilizaban cada vez más rsETH como garantía para posiciones apalancadas. En la víspera de la brecha, Aave poseía aproximadamente 580,000 tokens rsETH, equivalentes a $1.3 mil millones. Importante es que la caída del TVL superó con creces la cantidad real robada de $292 millones porque las estrategias de apalancamiento en DeFi hacen que los activos se cuenten múltiples veces, inflando el TVL y acelerando el desenredo durante crisis.
Los bajos rendimientos contribuyeron aún más a la toma de riesgos; en Aave, por ejemplo, los depósitos de USDC solo ganaban un 2.61% de rendimiento anual. Muchos sintieron que estos modestos rendimientos ya no justificaban la complejidad y riesgos que DeFi implicaba. Con menores “primas de riesgo”, los usuarios se trasladaron a un mayor apalancamiento, convirtiendo la crisis de rsETH en un evento significativo del mercado.
Reacción del Mercado y Flujos de Capital
Aunque volvieron a surgir declaraciones sobre “la muerte de DeFi” tras el incidente, expertos señalaron que la industria ha superado contratiempos aún más severos, citando el colapso de Terra y exploits de nueve dígitos en puentes como Wormhole y Ronin. A pesar de tales eventos de pérdida, DeFi ha logrado recuperarse y evolucionar cada vez.
“Cuando Terra colapsó y más de $1 mil millones en activos desaparecieron en los hacks de Wormhole y Ronin, o incluso cuando Multichain fue vulnerado, DeFi no terminó; siempre han seguido fases de recuperación.”
Incluso después de la pérdida récord de $1.5 mil millones en febrero en la bolsa Bybit, la plataforma continuó procesando retiros y mantuvo la actividad comercial, ilustrando la resiliencia de DeFi.
El fundador de DefiLlama 0xNGMI explicó que Aave tiene varios mecanismos, como reservas o deudas, para absorber pérdidas y proteger el protocolo. Aunque reconoció la magnitud de la pérdida, subrayó que la industria puede compensar tales golpes. “El verdadero problema es que las primas de riesgo ahora están a punto de aumentar.”
Se espera que las crecientes primas de riesgo hagan que sea más costoso para el capital permanecer en sistemas dentro de la cadena con amplias superficies de ataque. No obstante, las voces de la industria enfatizan que esto refleja una revalorización del riesgo, no una crisis existencial para DeFi en sí.
En lugar de una salida generalizada, el capital ha comenzado a fluir hacia diferentes protocolos. El protocolo Spark, por ejemplo, ya había descontinuado tokens con menor demanda como rsETH en enero. Consecuentemente, el TVL de Spark se disparó de $1.8 mil millones a $2.9 mil millones en la última semana, indicando una reasignación en lugar de un retiro de DeFi.
El ataque se está interpretando no como la caída de las finanzas descentralizadas, sino como un llamado de atención que resalta la necesidad de productos más seguros e innovadores. Los participantes de la industria coinciden en que DeFi debe replantear su hoja de ruta para convencer a los usuarios de aceptar diversos riesgos a cambio de rendimientos anuales de un solo dígito.
