Recientemente, al revisar esa oscuridad en DeFi en abril, todavía siento un poco de temor. En solo 18 días, el ecosistema perdió más de 600 millones de dólares, y la historia detrás de los números es aún más digna de advertencia.

La historia comenzó con Drift Protocol. El 1 de abril, mucha gente pensó que era una broma de April Fools, pero en 12 minutos se perdieron 285 millones de dólares. Luego se supo que el grupo Lazarus de Corea del Norte había infiltrado durante medio año, desde ingeniería social, encuentros presenciales hasta la implantación de malware, y finalmente obtuvo permisos de administración para vaciar varias bóvedas de una sola vez. ¿Qué significa esto? La seguridad en la cadena no es suficiente, siempre que los procesos de gestión fuera de línea fallen, las carteras multisig se vuelven decorativas.

Luego, el puente cross-chain Hyperbridge fue atacado, y los hackers aprovecharon una vulnerabilidad en la verificación de prueba Merkle para acuñar 1,000 millones de tokens virtuales DOT de la nada. Pero esto no fue lo peor. El 18 de abril, rsETH de Kelp DAO fue gravemente comprometido, los atacantes mediante infiltración RPC y DDoS falsificaron 116,500 rsETH (aproximadamente 292 millones de dólares), estos tokens falsos luego se usaron como colateral en Aave y Compound, y se tomaron prestados 236 millones de dólares en WETH.

La verdadera catástrofe fue la reacción en cadena. Aave, como el mercado de préstamos más grande, permitió a los usuarios hacer préstamos apalancados con rsETH: depositar LRT, tomar en préstamo ETH, y cambiar por más LRT. Cuando el mercado se movió, todo colapsó en un instante. En 48 horas, más de 6,000 millones de dólares en fondos huyeron de Aave, y el TVL de todo el mercado DeFi se evaporó en 13,000 millones.

Noté un fenómeno interesante: cuando la tasa de rendimiento anual en USDC en Aave cayó a 2.61%, por debajo del 3.14% de la plataforma tradicional Interactive Brokers, el incentivo para que los usuarios asuman riesgos en contratos inteligentes desapareció. Cualquier duda de seguridad era suficiente para hacer que los fondos apalancados se desplomaran en un instante. Esto refleja que el entorno de rendimientos en DeFi está cambiando, y el mecanismo de valoración del riesgo necesita ser reconsiderado.

Curiosamente, en medio de la crisis también se vieron compromisos. El comité de seguridad de Arbitrum congeló 30,700 ETH del atacante, y Tether, en colaboración con las autoridades, congeló 344 millones de USDT. Aunque estas acciones fueron elogiadas, también plantearon la realidad de los ideales de descentralización: cuando la supervivencia está en peligro, el control multisig se activa.

La reconstrucción post-crisis ya está en marcha. Aave ha recaudado aproximadamente 243 millones de dólares para compensar las pérdidas, y los desarrolladores están comenzando a enfocarse en carteras MPC, puentes ZK y sistemas de verificación más defensivos.

La lección de esta crisis en abril es clara: al buscar rendimientos, se deben considerar los riesgos de la cartera en conjunto. Seguridad, descentralización y usabilidad deben evolucionar en paralelo. De lo contrario, ninguna innovación tecnológica podrá sostenerse.