Resolver el problema de la centralización es la dirección en la que evoluciona DeFi

Estos días, en línea, hay un gran debate sobre el incidente de seguridad de AAVE.

El proceso principal del incidente fue así:

El atacante atacó el mecanismo de verificación de KelpDAO, falsificando mensajes entre cadenas, haciendo que el puente entre cadenas LayerZero acuñara en la cadena principal más de 110,000 rsETH de la nada, y luego depositó estos rsETH creados de la nada como colateral en Aave, prestando aproximadamente 236 millones de dólares en WETH/ETH.

Esta operación llevó directamente a que se retirara una gran cantidad de liquidez de WETH/ETH en Aave. Debido a la escalada de este incidente de seguridad, los activos almacenados en Aave comenzaron a ser retirados en masa. Esto hizo que la escasez de liquidez se extendiera rápidamente a casi todos los activos principales en Aave.

Lo que es aún más grave es que este problema también se extendió al ecosistema de Solana, provocando una situación de liquidez bastante tensa en varios protocolos de préstamo en esa red.

Sin duda, este incidente ha sido un golpe enorme para todo el ecosistema DeFi, por lo que en línea han surgido innumerables artículos y comentarios sobre el tema.

Sin embargo, la gran mayoría de estos artículos, además de simplemente desahogarse emocionalmente, no han entendido la clave del evento, ni han evaluado objetivamente su impacto. Muchos atribuyen todos los problemas sin análisis a DeFi, e incluso han proclamado sin fundamento que “la descentralización ha muerto”.

En realidad, la causa principal de este incidente de seguridad radica en que el mecanismo de verificación de KelpDAO tiene graves vulnerabilidades de seguridad en su diseño.

LayerZero ofrece un mecanismo de DVN (Red de Verificación Distribuida) para que varios protocolos confirmen los mensajes al realizar transacciones entre cadenas. Dado que el DVN es un verificador distribuido, los protocolos que llaman a este verificador deberían configurarlo usando un método distribuido — confirmando un mensaje con múltiples firmas.

Pero KelpDAO solo utilizó una firma única para confirmar los mensajes.

Esto deja una vulnerabilidad para los atacantes: si logran comprometer esa única firma, podrán hacer que cualquier mensaje sea confirmado.

Un escenario aún más típico para entender mejor este problema es el siguiente:

Normalmente, algunas grandes instituciones (como exchanges centralizados, etc.) poseen una gran cantidad de Bitcoin. Para las billeteras que almacenan estos grandes fondos, estas instituciones suelen usar billeteras multi-firma en lugar de billeteras con firma única.

Si solo usan una billetera con firma única, basta con que esa firma sea comprometida para que todos los Bitcoins en esa billetera estén en riesgo. Pero si usan una billetera multi-firma, incluso si una o varias firmas son comprometidas, mientras el umbral de firmas necesarias no se alcance, los Bitcoins en la billetera siguen siendo seguros.

Este es un conocimiento y una noción básica que todo operador y diseñador con un mínimo de conciencia de seguridad en el ecosistema criptográfico debería tener.

Sin embargo, el equipo de KelpDAO carece incluso de este conocimiento básico — precisamente porque usaron un diseño con firma única, altamente centralizado, lo que llevó a esta gran catástrofe.

Esto también demuestra que en el mundo DeFi, la configuración descentralizada debe ser la norma en cada eslabón clave para garantizar la seguridad de todo el sistema.

Por lo tanto, la afirmación de que “la descentralización ha muerto” es simplemente absurda.

Por supuesto, Aave tampoco es inocente en este incidente. Su problema radica en que: no prestó suficiente atención a los posibles riesgos asociados a los activos colaterales.

En enero de 2025, en el foro de gobernanza de Aave se publicó un aviso advirtiendo que los activos de KelpDAO podrían presentar riesgos. Pero Aave no tomó ninguna medida al respecto.

Por otro lado, un protocolo similar, Spark (derivado de MakerDAO), detuvo a tiempo la colateralización de rsETH.

Estas acciones tan diferentes en respuesta a un mismo riesgo de seguridad muestran claramente la gran brecha en la gestión de seguridad y control de riesgos de cada uno.

La acción de Spark me recuerda a un incidente de seguridad pasado de MakerDAO.

Fue en marzo de 2023, cuando la quiebra de Silicon Valley Bank provocó que USDC, la mayor colateralización de DAI en ese momento, se despegara gravemente de su valor de 1 dólar, causando que el precio de DAI cayera por debajo de ese nivel en un corto período.

Este también fue un desastre de DeFi causado por problemas de centralización. Exponiendo la insuficiente defensa de MakerDAO frente a los riesgos de centralización en ese momento.

Pero desde entonces, MakerDAO inició un proceso de renacimiento, impulsando directamente el “Plan de Fin de Juego” (Endgame Plan), acelerando su descentralización y diversificación de activos para prevenir impactos similares de riesgos centralizados en el protocolo.

Eso nos llevó a ver hoy a Spark, y también a apreciar la actuación prudente de Spark en este incidente.

El renacimiento de MakerDAO justamente demuestra que, ante problemas como estos, es aún más necesario que todos los proyectos en el ecosistema sean extremadamente vigilantes y refuercen la protección contra riesgos de centralización en cada eslabón.

Solo así se podrá construir a largo plazo un sistema DeFi más fuerte y con mayor vitalidad.

MakerDAO recorrió ese camino, y Aave, junto con todos los demás sistemas DeFi, deben seguir ese mismo camino.

El mecanismo DeFi no es la causa de los incidentes de seguridad; en realidad, el problema radica en que los operadores, en su subconsciente, ya están acostumbrados a pensar y actuar de manera centralizada.

Luchar continuamente contra los riesgos de centralización y resolver estos problemas es la dirección correcta para la evolución de DeFi, y también la mejor forma de solucionar incidentes similares.