El fin de semana pasado, la industria de las criptomonedas se vio sacudida por un hackeo que resultó en la pérdida de aproximadamente $292 millones, poniendo de manifiesto las vulnerabilidades en la infraestructura de las finanzas descentralizadas (DeFi). Este ataque se centró en el token rsETH de Kelp, una versión de ether (ETH) que genera rendimiento, y en el mecanismo utilizado para mover activos entre diferentes blockchains. Los primeros análisis sugieren que el atacante manipuló el sistema para crear grandes cantidades de tokens sin respaldo adecuado, que luego utilizó como colateral para tomar prestados activos reales de los mercados de préstamos, principalmente de Aave, el mayor prestamista descentralizado de criptomonedas.

Este incidente es el último de una serie de ataques que han golpeado a DeFi, que ya había sido afectado por un exploit de $285 millones en el protocolo Drift, basado en Solana, hace solo unas semanas. La confianza de los inversores en el sector de las criptomonedas, que actualmente tiene un valor cercano a los $90 mil millones, se ha visto gravemente afectada. El hackeo de Kelp destaca la fragilidad de los modelos de préstamos no aislados, donde los activos comparten riesgos a través de diferentes pools, lo que amplifica el impacto de tales eventos.

El ataque se dirigió a un componente del puente LayerZero, que permite el movimiento de activos entre blockchains. Normalmente, estos puentes funcionan bloqueando activos en una cadena y acuñando tokens equivalentes en otra, un proceso que depende de una entidad confiable para confirmar los depósitos. En este caso, Kelp actuó como ese verificador, pero su configuración de un solo firmante permitió al atacante firmar un mensaje que le permitió acuñar grandes cantidades de rsETH. Esto plantea serias preguntas sobre la seguridad de los protocolos DeFi y la necesidad de revisiones más rigurosas en la configuración de nuevos activos que se incorporan a estas plataformas.

Las implicancias para los inversores son significativas. Aave experimentó una caída de aproximadamente $6 mil millones en activos en su protocolo a medida que los usuarios retiraron sus fondos tras el incidente. La token asociada con Aave se depreció en un 15% en las últimas 24 horas. Además, Aave y otros protocolos de préstamos ahora se enfrentan a la posibilidad de tener cientos de millones de dólares en colateral cuestionable y deudas incobrables, lo que podría desencadenar una dinámica de "corrida bancaria" si los usuarios continúan retirando sus activos. La incertidumbre sobre cómo se comprometió el validador y si fue hackeado o mal configurado añade más presión sobre el ecosistema.

A medida que el sector DeFi se vuelve más interconectado, los fracasos en un nivel pueden tener repercusiones en todo el sistema. A pesar de la gravedad de la situación, algunos expertos, como Michael Egorov, fundador de Curve Finance, creen que DeFi aprenderá de este incidente y se volverá más fuerte. Sin embargo, la erosión de la confianza en los protocolos DeFi es un desafío importante que podría afectar la adopción futura. Con la proyección de que 2026 podría ser el peor año en términos de hacks, es crucial que los inversores y las plataformas de DeFi se preparen para un entorno más riguroso y seguro en el futuro.