¿Han sido los hackers y la regulación los que han arruinado las DeFi?

Autor: Gu Yu, ChainCatcher

En abril de 2026, una serie de desastres de seguridad volvió a poner a las DeFi en el centro de la opinión pública. Los ataques a Kelp DAO y Drift Protocol resultaron en pérdidas superiores a los 575 millones de dólares, provocando que el valor total bloqueado (TVL) en DeFi cayera de aproximadamente 172.000 millones a 148.000 millones de dólares, con el TVL en el sector de préstamos desplomándose de 53.000 millones a 40.000 millones de dólares.

En los últimos días, Manuel Aráoz, cofundador de la conocida empresa de auditoría de seguridad OpenZeppelin, declaró sin rodeos en la plataforma X: "Creo que todas las DeFi son ahora inseguras". Incluso mencionó que ha comenzado a aconsejar en privado a amigos y familiares que liquiden todas sus posiciones en DeFi, incluidos protocolos como Aave, MakerDAO y Compound, que son reconocidos como "blue chips" de bajo riesgo.

Aunque este juicio es particularmente duro, merece la pena reflexionar. Después de todo, OpenZeppelin ha sido durante mucho tiempo uno de los constructores más importantes de infraestructura de seguridad en el mundo DeFi, con sus estándares de contratos inteligentes y herramientas de seguridad permeando el desarrollo de toda la industria. Si incluso quienes mejor comprenden el sistema de seguridad de los contratos inteligentes comienzan a cuestionar los riesgos de las DeFi y a retirarse de forma decisiva, sin duda indica que están surgiendo problemas más profundos.

En los últimos años, cada vez que las DeFi enfrentaban contratiempos, la gente podía encontrar rápidamente una razón específica. Durante las caídas del mercado, la culpa se atribuía al entorno macroeconómico; cuando ocurrían ataques de hackers, la gente lo atribuía a vulnerabilidades técnicas; cuando las agencias reguladoras tomaban medidas, los problemas se resumían como presión política.

Sin embargo, si extendemos la dimensión temporal, encontraremos un hecho cada vez más claro: la difícil situación que enfrentan las DeFi hoy no es causada por un solo ataque, una política regulatoria específica o un proyecto fallido, sino que las dos lógicas fundamentales sobre las que se construyeron originalmente enfrentan desafíos simultáneos.

Una lógica proviene del mundo técnico, a saber, que el código puede reemplazar la confianza. La otra lógica proviene del mundo institucional, que establece que las redes abiertas pueden eludir las restricciones de los sistemas financieros tradicionales.

Y los hackers y los reguladores han golpeado precisamente estos dos pilares.

I. La profunda evolución de la crisis de seguridad en DeFi

Durante una década, la paradoja central en el campo de la seguridad DeFi nunca ha cambiado. Los investigadores de seguridad Web3 han identificado desde hace mucho tiempo esta asimetría fatal: el defensor debe tapar todas las vulnerabilidades posibles, mientras que el atacante solo necesita tener éxito en un aspecto.

En la superficie, los métodos de ataque no son más que los sospechosos habituales: vulnerabilidades en puentes entre cadenas, secuestro de permisos multifirma, manipulación de oráculos, etc. Sin embargo, los incidentes que involucran a Kelp DAO y Drift Protocol revelan una tendencia más brutal: las vulnerabilidades más fatales a menudo no se encuentran dentro del código del contrato inteligente.

El 18 de abril, el protocolo de restaking de liquidez de Ethereum, Kelp DAO, fue atacado. El atacante explotó una vulnerabilidad de configuración en la DVN (Red de Validación Descentralizada) del puente entre cadenas LayerZero, falsificando mensajes entre cadenas y retirando 116.500 rsETH del puente en cuestión de horas, lo que equivalía a aproximadamente 293 millones de dólares en ese momento.

La esencia de este desastre es un error de configuración, no un defecto de código. Kelp DAO eligió una configuración "1 de 1" para la red de validación entre cadenas de LayerZero: solo se necesita la confirmación de un nodo DVN para que los mensajes entre cadenas se consideren legítimos. Cuando el atacante comprometió dos nodos RPC que proporcionaban datos de validación y lanzó un ataque DDoS, todo el sistema de puentes se volvió prácticamente inexistente.

El 1 de abril, uno de los mayores DEX de contratos perpetuos en el ecosistema Solana, Drift Protocol, fue atacado, resultando en una pérdida de 285 millones de dólares, lo que lo convierte en el mayor incidente de ataque DeFi de 2026 hasta la fecha y el segundo caso de hackeo más grande en la historia de Solana.

Esto tampoco fue una vulnerabilidad de contrato inteligente. El atacante utilizó ingeniería social para comprometer al menos a dos de los tres firmantes de la billetera multifirma, obligándolos a prefirmar transacciones maliciosas utilizando la función de nonce duradero de Solana. Una vez que el atacante obtuvo privilegios administrativos, completó el robo de fondos en menos de 12 minutos.

La raíz del ataque radica en un fallo total de la seguridad operativa (OpSec): una configuración inadecuada de la billetera multifirma, puntos ciegos en la gestión de claves y una línea de defensa contra ingeniería social que era prácticamente inexistente.

Estos dos incidentes revelan la profunda evolución de la crisis de seguridad en DeFi: los puntos de ruptura de los ataques se están desplazando sistemáticamente de las vulnerabilidades tradicionales del código de contratos inteligentes a las capas de configuración y a las capas humanas/OpSec.

Manuel Aráoz señaló el núcleo del problema: "La seguridad de los contratos inteligentes es esencialmente un juego extremadamente asimétrico: los defensores deben corregir todas las vulnerabilidades, mientras que los atacantes solo necesitan encontrar una para robar fondos". A medida que la IA comienza a mejorar exponencialmente la eficiencia de los ataques, esta asimetría se está desequilibrando rápidamente.

Los agentes de codificación de IA pueden comprimir problemas que antes requerían semanas de trabajo de los mejores equipos de hackers éticos en cuestión de minutos, incluso generando de forma autónoma scripts de ataque basados en código de protocolo disponible públicamente. Como una de las empresas de auditoría de seguridad más importantes de la industria, el juicio pesimista del cofundador sirve como señal: la propia industria de la seguridad se está dando cuenta de que el marco de defensa existente se enfrenta a un fallo sistémico.

II. La propagación continua de la presión regulatoria

A medida que la crisis de seguridad se profundiza, las fuerzas regulatorias también ejercen presión continuamente tanto en las dimensiones dentro como fuera de la cadena.

El 26 de mayo, el gobierno del Reino Unido incluyó al exchange de criptomonedas HTX en su lista de sanciones contra Rusia, marcando la primera vez que utiliza el Reglamento 17A para imponer sanciones a un exchange de criptomonedas. El Reino Unido acusó a HTX de gestionar 3,3 billones de dólares en transacciones en 2025, supuestamente proporcionando servicios financieros a la red de pagos sancionada A7 y al exchange ruso Garantex.

La reacción en cadena provocada por las sanciones se extendió rápidamente. Dado que varias empresas principales de AML (anti-lavado de dinero) incluyeron la dirección del exchange HTX como una dirección de alto riesgo, muchos exchanges que utilizan su sistema AML endurecieron sus revisiones de transacciones relacionadas con direcciones asociadas a HTX, lo que llevó a que numerosos usuarios de HTX experimentaran problemas con los retiros de activos a otros exchanges.

El incidente de HTX revela un dilema más profundo: bajo un panorama geopolítico complejo, una sola sanción iniciada por los reguladores puede desencadenar un efecto de cadena expansivo en la cadena, afectando finalmente los fondos de innumerables usuarios comunes. Un usuario de HTX puede ser completamente inocente al mantener activos, pero debido a los posibles riesgos de cumplimiento de la plataforma, puede encontrarse con el "cortafuegos" de todo el sistema AML al intentar retirar fondos a otros exchanges, lo que resulta en fondos congelados o retrasados indefinidamente.

De hecho, el incidente de HTX es solo la punta del iceberg de la presión regulatoria. Lo que realmente limita la innovación DeFi a un nivel más profundo es la caracterización legal de los modelos de negocio subyacentes de los protocolos por parte de las agencias reguladoras.

En los últimos dos años, la SEC de EE. UU. ha iniciado investigaciones sobre protocolos DeFi "blue chip" como Compound, Uniswap y Curve, centrándose en si los tokens de gobernanza constituyen valores no registrados. Los golpes más directos provienen del sector de tokens de rendimiento: las acciones de cumplimiento de la SEC contra productos como Gemini Earn indican que, siempre que un protocolo pague a los usuarios intereses pasivos basados en depósitos, se clasifica fácilmente como un contrato de inversión, lo que desencadena obligaciones de registro y divulgación bajo la Ley de Valores.

Esta ambigüedad legal y el entorno de alta presión sofocan directamente las direcciones más imaginativas de la innovación DeFi: desde la minería de liquidez hasta los productos de rendimiento estructurado, los desarrolladores deben preocuparse constantemente por si sus modelos económicos de tokens cruzan las líneas rojas regulatorias.

En cierto sentido, la naturaleza "sin permiso" que las DeFi enfatizaron inicialmente está evolucionando gradualmente hacia otra forma de "sistema de permisos". Este "permiso" no proviene de una empresa o protocolo específico, sino de cada eslabón en la cadena de cumplimiento normativo: listas AML, motores de control de riesgos de los exchanges, la jurisdicción de largo alcance de las leyes de valores, etcétera.

III. Las DeFi entran en una fase realista

Mirando hacia atrás a los altibajos de las DeFi en los últimos años, los dilemas de seguridad y las presiones regulatorias de las DeFi no existen de forma independiente. La falta de un marco regulatorio claro dificulta el establecimiento de un consenso industrial sobre los estándares de seguridad; la frecuente ocurrencia de incidentes de seguridad, a su vez, proporciona la justificación más directa para que las agencias reguladoras globales endurezcan la aplicación de la ley; y la acelerada asimetría de seguridad en la era de la IA, combinada con umbrales de cumplimiento que se endurecen gradualmente, se entrelazan finalmente para empujar a innumerables usuarios comunes al centro de la tormenta.

Esencialmente, los límites de la auditoría de seguridad y la rigidez del cumplimiento normativo están erosionando continuamente las dos suposiciones centrales sobre las que se asientan las DeFi: "el código es ley" y "libertad sin permisos".

Hoy en día, los usuarios soportan mayores riesgos técnicos que en las finanzas tradicionales, pero es posible que no obtengan más libertad que en las finanzas tradicionales. Esta es precisamente la razón por la que muchos participantes del mercado están confundidos. Descubren que las DeFi no son tan seguras como los bancos ni tan completamente abiertas como se prometió inicialmente.

Cuando un sistema pierde simultáneamente tanto las primas de seguridad como las primas de libertad, su lógica de crecimiento será cuestionada naturalmente. Por lo tanto, la pregunta puede no ser "¿Destruyeron los hackers y los reguladores las DeFi?".

Más precisamente, los hackers y los reguladores simplemente han obligado a la industria a enfrentar la realidad. Los hackers han hecho que la gente se dé cuenta de que el código no crea confianza intrínsecamente; los reguladores han hecho que la gente sea consciente de que el mundo en la cadena nunca ha operado como un universo paralelo separado del mundo real.

Esto no significa el fracaso de las DeFi. Por el contrario, significa que este experimento está pasando de una fase idealista a una fase realista.

Las DeFi no están siendo destruidas por hackers o reguladores. Están siendo redefinidas por las leyes de supervivencia moldeadas por ambos: el futuro de las DeFi debe moverse hacia una autorregulación industrial y marcos de cumplimiento más estrictos, viéndose obligado a comprometer los principios de descentralización; o perder gradualmente la confianza del mercado en el desequilibrio continuo entre ataque y defensa, lo que conducirá a una marginación a largo plazo.