18 de abril de 2026: KelpDAO, un protocolo DeFi de restaking, sufrió la mayor brecha de seguridad del año. Aprovechando una vulnerabilidad de verificación en la infraestructura cross-chain de LayerZero, los atacantes falsificaron mensajes entre cadenas y robaron aproximadamente 116 500 rsETH en una sola transacción, valorados en unos 292 millones de dólares y equivalentes al 18 % del suministro circulante del token. A diferencia de la mayoría de exploits anteriores, el atacante no liquidó inmediatamente los fondos robados. En su lugar, los depositó como garantía en los principales protocolos de préstamos como Aave, tomando prestados cerca de 74 000 ETH y generando más de 280 millones de dólares en deuda incobrable a lo largo de varios protocolos. Esta maniobra convirtió lo que habría sido una pérdida aislada en un solo protocolo en un shock sistémico transmitido por todo el ecosistema de préstamos DeFi gracias a la composabilidad.
Este fue el segundo incidente de gran magnitud en apenas tres semanas. El 1 de abril, el protocolo de derivados Drift Protocol, basado en Solana, fue atacado y perdió 285 millones de dólares. En conjunto, ambos incidentes supusieron más de 575 millones de dólares en pérdidas directas. Si se suman los aproximadamente 230 millones de dólares en deuda incobrable en Aave por la devaluación de la garantía, las pérdidas totales de criptoactivos en abril superaron los 600 millones de dólares. Geoff Kendrick, responsable de Investigación de Activos Digitales en Standard Chartered, describió esto como una "prueba de estrés que dobla pero no rompe" para DeFi en su informe posterior al incidente. Sin embargo, tras esta valoración se esconde una cuestión más profunda: ¿cuánto de la rentabilidad actual de DeFi responde realmente a eficiencia de capital y cuánto a la asunción imprudente de riesgos?
¿Por qué han estado desalineados durante tanto tiempo los tipos de depósito y el riesgo real?
El informe de Standard Chartered pone de relieve un problema estructural que el mercado lleva mucho tiempo ignorando: los tipos de interés vigentes en los préstamos DeFi a menudo no cubren el coste real del riesgo de los activos. Ya sean los derivados LRT (Liquid Restaking Token) de KelpDAO o los contratos perpetuos de Drift, los activos subyacentes suelen ser combinaciones complejas y multinivel: tokens envueltos, activos cross-chain y tokens de staking líquido que se superponen, generando perfiles de riesgo altamente intrincados.
Tomemos rsETH como ejemplo. En Aave, el 98 % de su colateral está concentrado en una única estrategia de "leveraged looping". Los participantes depositan activos en Aave, piden prestado al máximo ratio préstamo-valor y reinvierten el capital en tokens aún más complejos en busca de mayores rendimientos. Aunque esto parece aumentar la eficiencia de capital, en realidad acumula riesgos de liquidez, liquidación y volatilidad de la garantía. Los modelos actuales de tipos de interés no asignan primas de riesgo diferenciadas para estas exposiciones apiladas.
La vulnerabilidad más crítica en el exploit de KelpDAO no fue un bug de código, sino una excesiva centralización en la arquitectura de verificación subyacente. Los datos muestran que, dentro del ecosistema LayerZero, el 47 % de las aplicaciones cross-chain operan con una configuración de validador de firma única (1/1), el 45 % con una configuración 2/2 y menos del 5 % con arquitecturas de seguridad más robustas. Esto significa que la gran mayoría de las aplicaciones cross-chain dependen de uno o dos firmantes como perímetro de seguridad. Si se ven comprometidos, cientos de millones de dólares quedan desprotegidos, y sin embargo esta vulnerabilidad sistémica no se refleja en los tipos de depósito actuales.
¿Por qué el modelo de fijación de precios de riesgo de Standard Chartered apunta a una "tasa justa" superior al 13 %?
En su análisis posterior al incidente, Standard Chartered señala una subestimación sistémica de los tipos de depósito en DeFi. Su modelo sugiere que, considerando la frecuencia de exploits de smart contracts, la exposición al riesgo de los puentes cross-chain y los efectos de contagio en crisis de liquidez, los tipos de interés justos en DeFi deberían ser significativamente superiores a los niveles actuales. El informe identifica la ausencia crónica de una "prima de riesgo de infraestructura" en los préstamos DeFi como la raíz de la grave desalineación entre rentabilidad y riesgo.
En concreto, los modelos de fijación de primas de riesgo suelen cubrir tres capas de exposición. La primera es el riesgo de código de smart contract: los protocolos DeFi funcionan sobre código abierto y cualquier fallo lógico no detectado puede acabar con todos los activos bloqueados. La segunda es el riesgo de infraestructura cross-chain: aunque los puentes aportan funcionalidad, también amplían enormemente la superficie de ataque, con pérdidas acumuladas por exploits de puentes que superan los miles de millones. La tercera es el contagio impulsado por la composabilidad: los fallos en puntos únicos pueden propagarse rápidamente a través del "efecto Lego" de DeFi, amplificando problemas locales hasta convertirlos en shocks sistémicos.
Cuando estas exposiciones se incorporan a un marco de alta confianza, la brecha entre las tasas justas derivadas del modelo y las tasas de mercado vigentes se hace evidente. Standard Chartered describió la crisis de liquidez durante el incidente de KelpDAO como una "corrida bancaria": la base de depósitos en Aave cayó en torno al 38 % y los préstamos activos disminuyeron aproximadamente un 31 %. En finanzas tradicionales, una tensión de liquidez así provocaría una subida brusca de tipos según los modelos de riesgo. En DeFi, sin embargo, estos riesgos siguen prácticamente sin precio.
La ilusión de confianza en la arquitectura de puentes cross-chain y la ausencia de primas de riesgo
El efecto dominó de los ataques a KelpDAO y Drift no se debió a un fallo puntual de código en un protocolo, sino a un defecto de diseño fundamental que recorre las arquitecturas de verificación de toda la industria. Tras el incidente, el cofundador de Polygon, Sandeep Nailwal, escribió que la infraestructura cross-chain actual funciona esencialmente como un "modelo de notaría": ya sean DVN, comités de oráculos o gobernanza multisig, la lógica central depende de un pequeño grupo de validadores que avalan las transacciones entre cadenas. Si este comité o sus fuentes de datos se ven comprometidos, el sistema aprueba sin saberlo transacciones fraudulentas.
Alexander Urbelis, Chief Information Security Officer de ENS Labs, lo expresó sin rodeos: "Una firma atestigua al autor, no la verdad. Una mentira firmada sigue siendo una mentira." Esta frase va al núcleo del dilema de la arquitectura cross-chain: el sistema verifica si un mensaje proviene de una fuente autorizada, pero no si el contenido del mensaje es genuino. Este fallo fundamental no se refleja actualmente como prima de riesgo en ningún modelo de tipos.
Hoy, los tipos de depósito en DeFi reflejan principalmente la oferta y demanda de capital, no la exposición al riesgo. En finanzas tradicionales, la rentabilidad de los bonos incorpora spreads de crédito, primas de liquidez y primas de plazo. En DeFi, las diferencias de tipos de depósito entre activos suelen depender del nivel de incentivos de liquidez mining, no de una valoración diferenciada de los riesgos subyacentes. El alto APY de KelpDAO sobre rsETH atrajo una avalancha de depósitos, pero cuando se produjo el ataque, los usuarios enfrentaron riesgos de pérdida desproporcionados respecto a su rentabilidad.
¿Por qué es inevitable la repricing del riesgo tras una contracción del capital?
La reacción en cadena provocada por el incidente de KelpDAO ha forzado una rápida repricing del riesgo. Analistas de JPMorgan señalaron que, en cuestión de días, el valor total bloqueado (TVL) en DeFi se redujo en unos 2 000 millones de dólares. Los depósitos en Aave cayeron alrededor de 1 700 millones y los préstamos activos bajaron unos 550 millones. Standard Chartered describió esto como una "corrida clásica": al darse cuenta los usuarios de que los activos robados se usaban como garantía, los retiros por pánico se extendieron rápidamente, y los depósitos netos en varios mercados de stablecoins llegaron momentáneamente a cero.
La huida masiva de capital es, en sí misma, una respuesta directa del mercado a la repricing del riesgo. Cuando los inversores perciben que la rentabilidad de mantener un determinado activo DeFi es muy inferior a los riesgos ocultos de exploits en bridges, concentración de garantías y espirales de liquidación, "votar con los pies" se convierte en la única opción racional. Una vez iniciado este proceso, se observa un cambio notable: los productos de alto rendimiento deben subir tipos para atraer capital, mientras que aumenta el atractivo de los activos más estables y de menor rentabilidad.
Cabe destacar que Standard Chartered no ha revisado a la baja su previsión a largo plazo para el mercado de RWA (Real World Asset) tras los recientes acontecimientos, manteniendo su proyección de que la capitalización de mercado de RWAs tokenizados alcanzará los 2 billones de dólares en 2028. Esta visión parte de una condición clave: DeFi debe mejorar su seguridad y renovar sus mecanismos de fijación de precios del riesgo para acoger capital a gran escala de las finanzas tradicionales. La tokenización de RWAs exige alinearse con los estándares tradicionales de gestión de riesgos; llegado ese punto, las primas de riesgo no solo existirán, sino que serán decisivas en la asignación de capital.
¿Pueden los rescates liderados por la industria impulsar mejoras en la fijación de precios del riesgo?
Ante esta crisis sistémica, la industria DeFi ha mostrado un mecanismo de respuesta de emergencia poco habitual en las finanzas tradicionales. El fundador de Aave, Stani Kulechov, y otros actores clave se comprometieron rápidamente a aportar más de 300 millones de dólares para restaurar la ratio de colateralización de rsETH y facilitar la liquidación controlada de las posiciones restantes del atacante. KelpDAO también completó en 11 días una actualización de seguridad en su puente cross-chain, pasando de su configuración original de validadores a un mecanismo de verificación 4-DVN.
Esta "alianza de rescate DeFi unida" demuestra la capacidad colaborativa del ecosistema en tiempos de crisis. Sin embargo, plantea una advertencia: los rescates sectoriales sustituyen la fijación de precios ex-ante por la remediación ex-post. Cuando los participantes del mercado esperan que "alianzas entre pares" intervengan tras grandes pérdidas, las señales de precios de riesgo se distorsionan aún más. Esto recuerda el riesgo moral del "too big to fail" en las finanzas tradicionales: se evita el colapso a corto plazo, pero se debilita la capacidad de reconocimiento y fijación de precios del riesgo a largo plazo.
La vía más sostenible es que las primas de riesgo se internalicen en los modelos de tipos, y no se cubran a posteriori mediante alianzas sectoriales. La arquitectura "hub-and-spoke" de Aave V4 y la Ethereum Economic Zone (EEZ) son intentos de reducir dependencias cross-chain a nivel técnico. La primera permite que las Layer 2 compartan liquidez en vez de bloquear fondos en cadenas separadas, mientras que la segunda busca la composabilidad sincrónica de activos del ecosistema Ethereum en un solo bloque. Si estas mejoras reducen el peso sistémico de los puentes, la composición de las primas de riesgo será más transparente.
¿Cómo influirá la perspectiva institucional en la lógica futura de la fijación de precios del riesgo en DeFi?
El ritmo de entrada de capital institucional sigue estrechamente ligado a la madurez de los marcos de evaluación de riesgos en DeFi. Actualmente, esta relación actúa como una restricción significativa. Analistas de JPMorgan indicaron en su informe tras el caso KelpDAO que las brechas de seguridad continuas y el estancamiento del capital siguen frenando el atractivo de DeFi para los inversores institucionales.
La visión de Standard Chartered es más matizada: reconoce la exposición a riesgos sistémicos, pero mantiene el optimismo sobre el crecimiento del mercado de RWA. Esta postura, aparentemente contradictoria, es en realidad un análisis institucional racional sobre la trayectoria de DeFi: los fallos de seguridad actuales son estructurales pero corregibles, y el crecimiento a largo plazo de RWA depende de que DeFi evolucione de un paradigma "impulsado por el tráfico" a uno "basado en la fijación de precios del riesgo".
Desde la perspectiva de asignación institucional de activos, los rendimientos deben ajustarse a tres factores: (1) el riesgo de volatilidad, medido frente a la desviación estándar de activos comparables; (2) el riesgo de liquidez, alineado con los periodos de tenencia; y (3) la valoración ex-ante de vulnerabilidades en la arquitectura técnica. El incidente de KelpDAO reveló que los tipos DeFi están gravemente infravalorados en los tres aspectos: el riesgo de volatilidad queda enmascarado por altos APYs de yield farming, el riesgo de liquidez se disimula bajo narrativas de composabilidad y el riesgo técnico apenas se incorpora a los modelos de precios.
Con más de 500 millones de dólares en pérdidas directas por los incidentes de Drift (285 millones) y KelpDAO (292 millones), el mercado se enfrenta a una pregunta fundamental: ¿compensan realmente los rendimientos de DeFi el riesgo de tenencia? La respuesta definitiva aún está por verse, pero el modelo de Standard Chartered aporta una referencia: una tasa justa debería situarse claramente por encima del 13 %.
Conclusión
Los ataques consecutivos a KelpDAO y Drift han forzado, en la práctica, una prueba de estrés sobre los mecanismos de fijación de precios del riesgo en DeFi. Standard Chartered resumió el problema en una conclusión central: los tipos de depósito actuales en DeFi no cubren riesgos multinivel como vulnerabilidades en bridges, contagio por composabilidad y fallos en validadores únicos. Su modelo calcula que una tasa justa debería situarse, al menos, por encima del 13 %, siendo la primera vez que una institución cuantifica esta brecha.
Los rápidos esfuerzos de rescate del sector evitaron el colapso sistémico, pero también confirmaron que la ausencia de primas de riesgo ha sido reconocida por los participantes del mercado. La variable clave para el futuro no es "si habrá otro ataque"—eso es casi seguro—sino si el mercado podrá renovar sus mecanismos de fijación de precios antes del próximo evento sistémico. Mejoras técnicas como Aave V4 y la Ethereum Economic Zone pueden ayudar a reducir la exposición al riesgo sistémico, pero la verdadera reforma de precios requiere parámetros dinámicos de evaluación del riesgo en los modelos de tipos a nivel de protocolo. Solo cuando los tipos DeFi reflejen con precisión los costes de seguridad subyacentes, el sector podrá superar la zona gris de desajuste severo entre rentabilidad y riesgo y entrar en una nueva era de participación institucional a escala.
Preguntas frecuentes
P: ¿Cómo calculó Standard Chartered la "tasa justa superior al 13 %" mencionada en su informe?
El modelo del informe, construido en torno a los riesgos sistémicos expuestos por el caso KelpDAO, incorpora tres factores principales de prima de riesgo: (1) frecuencia media y pérdida esperada por exploits de smart contracts, (2) riesgo de superficie de ataque de arquitecturas de puentes y (3) riesgo de contagio sistémico por composabilidad de activos. Al integrar estos factores en un marco ajustado de fijación de precios de activos de capital, el modelo concluye que los tipos de préstamo DeFi deberían ser significativamente superiores a los niveles actuales, tomando el 13 % como umbral de referencia. Cabe destacar que, a 30 de abril de 2026, los rendimientos anualizados de depósitos en stablecoins en los principales protocolos de préstamos DeFi estaban generalmente por debajo de ese umbral.
P: ¿Por qué los ataques a KelpDAO y Drift afectaron a protocolos terceros como Aave?
Aunque ambos ataques ocurrieron en ecosistemas distintos, sus mecanismos de transmisión fueron similares. En el exploit de KelpDAO, el rsETH robado se depositó directamente como garantía en Aave y otros protocolos, permitiendo al atacante tomar prestadas grandes cantidades de ETH y generando más de 280 millones de dólares en riesgo de deuda incobrable en las plataformas de préstamos. El ataque a Drift implicó manipulación interna de precios y la toma de control de firmantes de gobernanza, afectando a su mercado de stablecoins y posiciones de préstamo. Este efecto dominó de "exploit en un protocolo—colateral inyectado en grandes plataformas de préstamos—liquidaciones en cascada y propagación de deuda incobrable" ejemplifica la composabilidad tipo Lego de DeFi como fuente de riesgo sistémico y explica por qué los protocolos terceros pueden convertirse en portadores pasivos de riesgo aunque no sean atacados directamente.
P: ¿Existe una brecha entre los tipos actuales de DeFi y las estimaciones del modelo de Standard Chartered? ¿De qué magnitud?
A 30 de abril de 2026, los tipos de depósito en stablecoins en los principales protocolos DeFi solían oscilar entre el 3 % y el 10 %, con la mayor parte del rendimiento proveniente de incentivos en tokens más que de los propios préstamos. El modelo de Standard Chartered, que apunta a una "tasa justa superior al 13 %", pone de manifiesto una brecha significativa en la fijación de precios. Entre los factores que contribuyen destacan: la subestimación por parte del mercado de los riesgos derivados de la anidación de activos cross-chain, el contagio por crisis de liquidez y los fallos de permisos en smart contracts, así como la distorsión artificial de los tipos base por incentivos de liquidity mining. El informe señala que el 98 % del colateral rsETH de KelpDAO en Aave estaba concentrado en una sola estrategia de leveraged looping, un nivel de concentración de riesgo que no se refleja en los modelos de tipos actuales.
