¡Se Destapan los Secretos Mejor Guardados del Teatro Descentralizado de DeFi!

chatgpi
Chat GPI abril 26, 2026
0 Comentarios
¡Se Destapan los Secretos Mejor Guardados del Teatro Descentralizado de DeFi!

«El congelamiento de Arbitrum: cuando el cuento de la descentralización choca con la realidad.»

— Charles Guillemet, CTO de Ledger.

El 19 de abril, miles de personas que usaban Aave, el chido protocolo de préstamos más grande en Ethereum, quisieron sacar su ether… y no pudieron. El pool había llegado al 100% de uso, o sea, no quedaba un peso líquido. No era falla de la app ni del wallet. Era un corralito, pero en DeFi. En pleno 2026. En el protocolo de préstamos más grande del ecosistema Ethereum.

Así están las cosas en las “finanzas descentralizadas”.

La historia empieza el 18 de abril. KelpDAO, una plataforma para hacer restaking líquido en Ethereum, sufrió un hackazo de 292 millones de dólares en su token rsETH. LayerZero, el sistema que usan para pasar mensajes entre cadenas, culpó al grupo de hackers Lazarus, que supuestamente tiene relación con Corea del Norte. Pero lo curioso es que Kelp andaba con una configuración llamada “1-de-1 DVN” — o sea, que en un sistema supuestamente descentralizado dependían de un solo tipo para validar las transacciones. Un chiste.

LayerZero decía que ya les había recomendado que pusieran más verificadores, pero Kelp les tiró la bolita a ellos. Se echaron la culpa y cerraron el primer acto.

Segundo acto: el virus se esparció rápido. rsETH se usaba como garantía en Aave, y cuando salió el hackeo, la gente empezó a sacar sus ethers corriendo. En solo horas salieron 2.3 millones de ether, unos 5,400 millones de dólares. La liquidez se esfumó, se bloquearon los retiros y el token AAVE perdió 20% en un solo día.

Justin Sun, fundador de Tron y figura conocida en el mundo cripto, hasta se ofreció a negociar con el hacker. Mientras tanto, Stani Kulechov, de Aave, activó poderes de emergencia y congeló preventivamente los mercados de wrapped ether para evitar más broncas.

Tercer acto: para el 20 de abril, el caos era total. El valor total bloqueado en DeFi cayó 7 mil millones de dólares en un día, y más de 30 protocolos pausaron su uso de LayerZero para ver qué onda con el ataque.

El jueves 21 entró el cuarto acto. El Consejo de Seguridad de Arbitrum, que es la segunda capa de Ethereum donde el hacker movió parte del botín, congeló 30,766 ether del atacante. Esto fue en respuesta a otra polémica reciente, cuando Circle decidió no congelar el USDC del atacante de Drift, y la gente se les fue encima.

Este Consejo tiene un poder especial: pueden, en casos de emergencia, actualizar contratos por un rato para bloquear fondos sin afectar a nadie más. Lo hicieron y usaron su “multifirma” para mover el dinero del hacker a una wallet controlada por el protocolo, y luego regresaron todo a la normalidad.

Sí, un grupito de personas movió fondos que, en teoría, en una red “descentralizada” no deberían poder tocarse. Y funcionó.

Ahora, para cubrir el agujero que dejó el hackeo de KelpDAO, Lido DAO, EtherFi y Stani de Aave están organizando un rescate con cerca de 6 millones de dólares.

Pero ojo, el hackeo no es el meollo del asunto.

Los hackeos no pasan porque haya un admin con poderes especiales. Pasan porque DeFi es tecnología experimental que mueve miles de millones de dólares y que está tan chida como peligrosa; si un protocolo tiene un error, ese problema puede saltar a otro y crecer sin control, mientras la seguridad va quedando atrás.

En el caso de Kelp, no fue una falla humana, sino que envenenaron dos servidores que consultan el estado de Ethereum y engañaron al sistema para que firmara cosas que nunca pasaron. Eso hubiera ocurrido incluso con un contrato “inmutable”. El problema es que la tecnología sigue en pañales.

Por eso hackean protocolos como Drift, Kelp, y quién sabe cuántos más vendrán. En abril, casi cada dos días hubo un nuevo golpe. Parece que hackeos son parte del ADN de DeFi desde sus inicios. Desde 2020, los protocolos han perdido más de 9 mil millones de dólares por bandalismos cyberneticos. Aunque los ataques han bajado, 2026 va muy rápido para alcanzar las cifras del año pasado.

Pedirle a DeFi que no se hackee es como pedirle a un avión de 1910 que no se caiga: es tecnología nueva que todavía está en prueba. Y en esos tiempos, los aviones se caían. En DeFi, eso significa hackeos.

Pero esto no exime a los protocolos, todo lo contrario. Cuando un puente maneja una configuración que su propio proveedor dice que no use, cuando un préstamo acepta como colateral un token que depende de una infraestructura no auditada, y cuando una app con 30 mil millones en juego no tiene plan para una corrida bancaria, eso ya no es error ni accidente, es pura negligencia.

Lo que rompió el hechizo no fue el ataque, sino cómo respondieron.

Aave congeló mercados para protegerse porque tiene esa facultad. Arbitrum movió fondos del hacker porque la red se lo permite. LayerZero anunció que va a negar mensajes de aplicaciones en configuraciones arriesgadas. Todo esto es humano y coordinado. No es ilegal ni escondido, es parte del sistema.

Charles Guillemet puso el dedo en la llaga: Arbitrum está en el “Stage1” en la escala que mide descentralización, es decir, que hay un comité con poderes para intervenir en emergencias. Ninguna segunda capa masiva ha llegado al “Stage2”, donde eso desaparece y todo funciona sin humanos metiendo mano.

Contratos que se actualizan, stablecoins que se pueden congelar, puentes con llaves maestras, mercados que se pueden pausar, consejos de seguridad con posibles manos negras… Esto no es la excepción, es el ecosistema.

El congelamiento de Arbitrum no fue la primera vez que pasa, solo fue que la gente se dio cuenta. Durante años, muchos usuarios pensaron que DeFi era una máquina autónoma e intocable. Esta semana las luces se prendieron, y el truquito quedó al descubierto. El show sigue, pero ya no es igual.

Y ojo, los institucionales no van a aguantar lo contrario.

La charla que tuvo febrero sobre la «captura institucional» de Bitcoin aplica aquí también. Así como Bitcoin terminó con custodios regulados afuera de la cadena, DeFi va rumbo a que el control humano y centralizado sea la norma.

Bancos, fondos, corporativos y agencias que tokenizan activos no van a firmar contratos donde les digan “si te hackean, perdiste tu lana”. No, ellos van a querer la reversibilidad, listas negras y la capacidad de congelar. JP Morgan ya lo dijo: la ola de hackeos reduce el interés institucional en DeFi.

Y la industria, que esta semana mostró que puede hacer todo eso, lo va a entregar sin chistar. Porque el billete manda y el espíritu original de DeFi no aguanta ante eso.

El usuario de DeFi quiere que le devuelvan su lana cuando lo hackean, el institucional quiere seguridad, y el protocolo quiere seguir vivo. Los tres van pa’ la misma dirección: control humano y centralizado.

El mercado lo dejó claro. Cuando AAVE perdió 20% sin haber sido hackeado directamente, la gente salió corriendo y castigó esa arquitectura que permite esos contagios. Fue un veredicto rápido y directo en la cadena, sin filtros.

Así de duro funciona el mercado cripto en su mejor forma: castiga parejo. Esta semana castigó a DeFi por una verdad que ya conocía.

La moraleja: DeFi tiene que ser honesto.

Tiene que aceptar que sus protocolos los manejan humanos con poderes de emergencia. La palabra “descentralizada” va a desaparecer o quedar para unos pocos que quieran mantener la ilusión, como pasó con Ethereum Classic después de su hackeo famoso.

Y eso, aunque parezca raro, estaría bien. Pero sabemos que este mundo es experto en disfrazar sus fracasos y seguir como si nada (igual que las stablecoins algorítmicas que siguen firmes tras el colapso de Terra-Luna).

El problema no son los botones de emergencia, sino que los usuarios no sabían que existían. Creían que nadie podía tocar su dinero y se enteraron en crisis.

Ser sinceros le da al usuario lo que necesita: información para decidir dónde mete su lana. Saber que Aave puede congelar tu wrapped ether, que Arbitrum puede mover tus fondos y que LayerZero puede desconectar apps, es incómodo pero necesario. Mejor eso que una descentralización de mentira.

Guillemet propone que cada protocolo publique su nivel real de descentralización como si fuera una etiqueta nutricional. No es algo que vayamos a ver mañana, pero pone la vara para medir cualquier proyecto que diga ser “descentralizado”.

Como dijo CriptoNoticias hace poco: la confianza solo se mitiga cuando no hay un punto único de fallo humano. Y esta semana quedó claro que DeFi todavía no llega ahí, y que quienes vengan no quieren llegar.

El teatro terminó. Las luces se prendieron y revelaron el truco. Lo que DeFi haga con esa verdad va a definir los siguientes años. Y tú, como usuario, tienes que responder a la pregunta que importa: si tu lana puede ser congelada por decreto, ¿sigue siendo realmente tuya?

Categorías: Finanzas

Artículos relacionados

Respuestas