Introducción
Fuente: de.fi
Durante el último año, el sector DeFi ha sufrido pérdidas acumuladas de 2,02 mil millones de dólares, con solo alrededor del 5 % de los fondos robados finalmente recuperados. Esta cifra equivale aproximadamente a 1,1 veces el valor total bloqueado (TVL) de Curve Finance, lo que subraya cómo los incidentes de seguridad siguen erosionando la base de capital de la industria.
Desde marzo de este año, DeFi ha registrado una serie de brechas de seguridad destacadas:
Solv Protocol perdió 2,73 millones de dólares debido a una vulnerabilidad de minting repetido en su función mint(). Venus Protocol incurrió en una deuda incobrable de 2,18 millones de dólares en BSC tras eludir la comprobación del límite de suministro. Resolv Labs sufrió una pérdida de 25 millones de dólares después de que una filtración de clave privada permitiera la creación no autorizada de 80 millones de dólares en USR sin colateral. Drift Protocol experimentó el mayor ataque de 2026 hasta la fecha, perdiendo más de 280 millones de dólares. Los atacantes dedicaron semanas a preparar la ruta de explotación, emplearon ingeniería social para obtener la aprobación multisig 2 de 5 y finalmente tomaron permisos de gestión, transfiriendo más de la mitad de los fondos del protocolo en poco tiempo. Además, KelpDAO enfrentó un incidente de seguridad con sus activos subyacentes, lo que desencadenó un contagio de riesgo rsETH y una crisis de liquidez, intensificando aún más la presión del mercado sobre los activos relacionados con LRT.
Estos incidentes evidencian una realidad dura: por avanzada que sea la tecnología subyacente, los fondos de los usuarios siguen expuestos a riesgos extremos que no pueden eliminarse por completo.
De hecho, DeFi ha construido una base sólida en varias otras áreas durante los últimos años:
Capa de infraestructura: Ethereum completó The Merge, mientras que Base, Solana y otras L1/L2 continúan ofreciendo entornos de ejecución de bajo coste y alta capacidad. La liquidación on-chain se acerca a la estabilidad y fiabilidad de la infraestructura financiera tradicional.
Capa de préstamos/rendimiento: Protocolos como Aave, Morpho y Kamino han establecido mercados de préstamos on-chain maduros. Pendle ha permitido la segmentación de tipos de interés, enriqueciendo la gama de productos de rendimiento.
Capa de estrategia/gestión de activos: Equipos profesionales de gestión de riesgos como Gauntlet, Steakhouse Financial y MEV Capital participan ahora como "gestores de fondos on-chain", gestionando activamente riesgo y rentabilidad.
Sin embargo, pese a estos avances, la stack DeFi sigue teniendo una brecha significativa en un área crucial: la transferencia de riesgo.
Referencia en TradFi: La capa de seguro que falta
Los sistemas financieros tradicionales pueden respaldar cientos de billones de dólares en activos, no solo gracias a la regulación, sino también a un mecanismo integral de transferencia de riesgo: los depósitos bancarios están protegidos por la FDIC, las cuentas de valores por la SIPC y las operaciones institucionales se cubren con derivados de crédito.
La industria de seguros actúa como el "amortiguador" del sistema financiero. Las primas de seguros globales representan alrededor del 6–7 % del PIB mundial y, si se incluyen los activos gestionados por compañías aseguradoras, su influencia en los mercados de capital supera ampliamente ese porcentaje. (1)
En contraste, las primas de seguros on-chain representan menos del 1 % del TVL de DeFi, una brecha que señala una gran oportunidad de mercado.
¿Por qué es tan difícil el seguro DeFi?
Los riesgos son difíciles de cuantificar—La tarificación tradicional no se adapta
DeFi enfrenta riesgos altamente complejos y heterogéneos, como vulnerabilidades en smart contracts, desvinculación de stablecoins y fallos de oráculos, que suelen ocurrir simultáneamente y se agravan entre sí. A diferencia del seguro tradicional, DeFi carece de datos históricos verificables de reclamaciones a largo plazo, lo que hace que los modelos actuariales convencionales—basados en distribuciones de pérdidas y frecuencias de incidentes—resulten ineficaces.
Además, los riesgos en DeFi están mucho menos definidos que en el seguro tradicional. En entornos convencionales, los objetos asegurables como viviendas, vehículos o personas tienen límites de riesgo claros e independientes. En DeFi, sin embargo, los protocolos son altamente composables. Un solo fallo puede propagarse por rutas de liquidez, colateral, estrategias de rendimiento y liquidación, causando pérdidas cruzadas entre protocolos. Esto difumina los límites de cobertura, responsabilidad y determinación de pérdidas.
Baja eficiencia de capital—Difícil competir con los rendimientos nativos de DeFi
El seguro requiere fundamentalmente bloquear reservas significativas para cubrir posibles reclamaciones. Pero en DeFi, los usuarios y proveedores de liquidez prefieren destinar capital a estrategias con retornos más altos y continuos, como préstamos, market making, arbitraje o agregación de rendimiento.
Fuente: Nexus Mutual
Actualmente, la mayoría de los pools de seguro on-chain ofrecen retornos por debajo de los rendimientos principales de DeFi, lo que los hace menos atractivos frente a otras oportunidades. Este coste de oportunidad provoca que los pools de seguro tengan dificultades para atraer suficiente capital de suscripción, limitando tanto la profundidad como la escalabilidad de los productos de seguro.
Análisis del sector
A pesar de estas brechas, ya estamos viendo los primeros contornos de un ecosistema de seguros y gestión de riesgos on-chain:
En un extremo, existen pools de transferencia de riesgo genuinos como Nexus Mutual. En el otro, plataformas como Catalysis y OpenCover integran mecanismos de protección directamente en los flujos de depósitos y productos, respaldados por ratings de riesgo de proveedores como Credora y LlamaRisk, verificación de riesgo de Accountable y detección de riesgo en tiempo real de Hypernative y Blocksec.
Definamos cuatro capas funcionales:
Cobertura/Suscripción: La capa que finalmente absorbe pérdidas, recauda primas y gestiona reclamaciones. Integra la protección de forma nativa en vaults o flujos de productos, haciendo que la cobertura sea una característica integrada y no un añadido externo.
Rating de riesgo: Convierte riesgos en puntuaciones comparables, recomendaciones de capital y parámetros.
Verificación: Confirma que los activos, pasivos y reservas existen realmente y pueden verificarse on-chain.
Detección: Proporciona alertas, filtrado de transacciones, simulaciones o bloqueo automatizado antes de que ocurran pérdidas.
Estas cuatro capas conforman el marco analítico de este artículo.
Capa de suscripción
La innovación central de Catalysis es integrar la protección de riesgo directamente en los vaults DeFi, haciendo que la cobertura sea parte del proceso de asignación de activos en lugar de una compra externa de seguro. Es decir, cuando los usuarios depositan fondos en un vault, reciben automáticamente la protección de riesgo correspondiente—sin necesidad de buscar un protocolo de seguro aparte.
A nivel mecánico, Catalysis conecta tres tipos de participantes en un proceso completo de suscripción on-chain:
Fuente: Catalysis
Primero, los restakers depositan activos como ETH, BTC o stablecoins en protocolos de restaking como EigenLayer y Symbiotic, formando un pool de seguridad económica habilitado para slashing—el capital inicial de suscripción del sistema. A continuación, este capital se asigna a varios CoverPools, cada uno cubriendo una categoría de riesgo específica (por ejemplo, un vault de préstamos o una estrategia de rendimiento concreta). Finalmente, los usuarios de vaults pagan tarifas de cobertura por la protección de riesgo, y estas tarifas se distribuyen entre los restakers que aportan capital de suscripción. (2)
¿Cómo se tarifica el riesgo?
En Catalysis, la tarificación del riesgo no la determina caso por caso un comité de seguros, sino que se ejecuta automáticamente mediante un modelo de parámetros definido por el protocolo. La lógica es sencilla: mayor riesgo requiere más capital de suscripción habilitado para slashing, lo que resulta en tarifas de protección más altas.
Concretamente, cada CoverPool establece parámetros de capacidad de suscripción, ratios de slashing y tasas de tarifas para distintos tipos de riesgo de vault. Estos determinan cuánto capital restaked debe bloquearse como protección y cuánto pagan los usuarios en tarifas de cobertura—esencialmente, el "coste de alquilar capital de suscripción".
Como el capital de suscripción proviene de restakers, las tasas también se ven influenciadas por la oferta de capital: cuando hay abundante capital de suscripción, el coste de protección es menor; cuando el capital escasea, las tasas aumentan. Así, la tarificación del riesgo se moldea tanto por los parámetros del protocolo como por la dinámica de oferta y demanda del mercado.
OpenCover es otra "infraestructura de protección integrada", pero no actúa como suscriptor final. En su lugar, sirve como plataforma de distribución y estructuración, empaquetando la cobertura subyacente en módulos que pueden integrarse directamente en los flujos de productos DeFi. (3)
Fuente: Opencover
OpenCover no proporciona capital de suscripción.
La cobertura real para los Covered Vaults la aporta Nexus Mutual: cuando los usuarios depositan participaciones en vaults, el pool de staking de Nexus Mutual bloquea una cantidad correspondiente de NXM en tiempo real, sirviendo como capital de suscripción verificable on-chain. Esto permite que la capacidad de cobertura escale junto al riesgo de los vaults.
Para la tarificación del riesgo, los Covered Vaults utilizan el modelo dinámico de Nexus Mutual en lugar de una tasa fija.
En resumen, los suscriptores establecen una tasa mínima aceptable y luego ajustan los precios según la oferta y demanda: si la demanda de cobertura sobre un vault se dispara y la capacidad de suscripción se utiliza intensamente, los precios suben automáticamente; por el contrario, si la capacidad es amplia y la demanda baja, los precios caen gradualmente. Es un mecanismo de tarificación on-chain que se ajusta dinámicamente según el riesgo y la utilización de capital. (4)
Capa de evaluación de riesgo
Varias instituciones se centran ahora en la evaluación de riesgo DeFi, abordándola desde tres ángulos: scoring crediticio, infraestructura de datos verificables y simulación dinámica de parámetros. Juntas, proporcionan la base para la tarificación de seguros y la gestión de riesgos on-chain.
Credora es actualmente la más similar a las agencias de rating crediticio tradicionales (como S&P y Moody’s) en DeFi, ofreciendo scoring cuantitativo de riesgo. Lanzada por RedStone, Credora califica sistemáticamente tokens, mercados de préstamos y carteras de vaults, proporcionando a los protocolos orientación cuantificable para la asignación de capital.
Estructura de rating en tres niveles
1) Ratings de tokens
Calcula probabilidades de impago (PSL) para activos como LSTs y stablecoins, usando metodologías de anclaje de referencia y factores de ajuste de riesgo para generar puntuaciones base.
2) Ratings de mercados de préstamos
Distingue estructuras de mercado:
Mercados de colateral aislado (por ejemplo, Morpho): Utiliza simulaciones Monte Carlo para modelar numerosos escenarios aleatorios, estimando la distribución de resultados—principalmente evaluando si un fallo de colateral provocaría pérdidas significativas.
Mercados de colateral (por ejemplo, Aave, Spark): Más complejos, ya que los activos pueden ser prestados y re-colateralizados repetidamente, amplificando el riesgo. El foco está en si los fallos de activos subyacentes pueden amplificar el riesgo e impactar todo el mercado. (5)
3) Ratings de carteras de estrategia
Trata los vaults como carteras de activos cross-market, considerando no solo las asignaciones subyacentes, sino también la competencia del gestor y la calidad de la gobernanza.
Metodología de rating
Fuente: Credora
Utiliza un sistema de letras de A+ a D, mapeado a tasas históricas de impago (1990–2023) de las tres principales agencias. Se emplea una función exponencial para construir la curva PD, alineando los ratings crediticios tradicionales con las distribuciones de riesgo DeFi.
A diferencia de Credora, LlamaRisk se centra no en el scoring, sino en crear un marco de datos verificables on-chain—abordando el reto central de credibilidad de datos en DeFi.
Dos componentes clave
SAVE Framework (Structured Attestation & Verification Engine)
Un toolkit open source en TypeScript para convertir datos financieros estructurados en registros verificables on-chain, incluyendo:
- Claims: Declaraciones de hechos estructuradas
- Proofs: Evidencia criptográfica
- Attestations: Evidencia firmada publicada on-chain y almacenada en IPFS
Aplicable no solo a pruebas de reservas, sino también a calidad de colateral y transparencia de estrategia.
LlamaGuard Suite
Un conjunto de herramientas de gestión de riesgo RWA construido sobre SAVE:
- LlamaGuard Proof: Attestación automatizada de datos financieros
- LlamaGuard NAV: Oráculo NAV acotado basado en Chainlink
- LlamaGuard Actions: Triggers de respuesta condicional al riesgo (6)
Protocolos como Aave, Curve, Midas y Ethena utilizan estas herramientas para obtener insights de riesgo, como estado de liquidez, cambios de utilización y desviaciones de precio de oráculo. Estos datos ayudan a los equipos a establecer tamaños de reserva, techos de deuda y otros parámetros críticos de riesgo de forma más eficaz.
Chaos Labs es una de las plataformas de análisis de riesgo DeFi más completas, especializada en simulación en tiempo real, pruebas de estrés y optimización de parámetros de riesgo.
Tres capacidades principales
Primero, monitorización dinámica de riesgo: seguimiento en tiempo real de métricas clave en múltiples cadenas, incluyendo suministro total y volúmenes de préstamos, tasas de utilización, eventos de liquidación, concentración de colateral y exposición de direcciones whale. Actualmente, la plataforma monitoriza más de 63,7 mil millones de dólares en suministro de activos en las principales blockchains.
Segundo, simulación de exposición al riesgo: pruebas de estrés ante escenarios extremos de mercado, como caídas bruscas de precios de colateral, contracción rápida de liquidez o ventas concentradas de activos, para evaluar la solvencia de un protocolo y el riesgo de deuda incobrable.
Tercero, optimización de parámetros: basándose en los resultados de simulación, Chaos Labs ofrece recomendaciones para parámetros clave de riesgo—como LTV, umbrales de liquidación y curvas de tipos de interés—ayudando a los protocolos a equilibrar eficiencia de capital y gestión de riesgo. (7)
Capa de verificación
La capa de verificación aborda una cuestión fundamental: ¿los datos on-chain son realmente fiables?
Sin mecanismos robustos para verificar activos, pasivos y reservas, incluso los modelos de riesgo más sofisticados pueden basarse en supuestos erróneos. Actualmente, las infraestructuras de verificación más destacadas son Chainlink Proof of Reserve y Accountable.
Chainlink PoR es una de las redes de verificación de reservas on-chain más maduras, utilizada principalmente para confirmar que stablecoins, activos cross-chain y RWAs están plenamente colateralizados. Su objetivo principal es reducir la dependencia de DeFi en la confianza de activos off-chain.
Fuente: Chainlink
El proceso suele consistir en: auditores o proveedores de datos recopilan información de reservas de forma continua, que luego es verificada y validada por la red descentralizada de oráculos de Chainlink. Cuando las reservas cambian más allá de un umbral preestablecido o en intervalos fijos, los datos se escriben on-chain para que los protocolos los accedan directamente. (8)
El valor clave de PoR reside en su integración directa en la lógica de los protocolos:
- Secure Mint: Solo permite nuevas emisiones cuando las reservas son suficientes, evitando la emisión sin respaldo
- Circuit Breaker: Pausa automáticamente préstamos u operaciones relacionadas cuando el colateral es anómalo
Accountable Capital aborda un punto ciego central de la PoR tradicional: verifica activos, pero no pasivos.
Fuente: Accountable
Solo mirar los activos no basta para demostrar la salud de una institución, ya que podría tener pasivos ocultos significativos. Accountable utiliza pruebas de conocimiento cero para verificar simultáneamente activos y pasivos sin revelar información sensible, proporcionando una prueba de solvencia más completa.
¿Cómo funciona?
Su Data Verification Network (DVN) agrega datos de diversas fuentes de forma continua—direcciones on-chain, cuentas de custodia, cuentas bancarias, libros internos y posiciones de contratos. Tras el cifrado local, genera un ZKP para probar si una institución tiene solvencia neta suficiente, todo sin revelar direcciones específicas, claves API o estrategias de trading. (9)
A diferencia de soluciones que solo comprueban la existencia de reservas, Accountable verifica la salud financiera global—especialmente útil para estrategias institucionales o estructuras de stablecoins que deben divulgar apalancamiento, coberturas y pasivos de forma continua.
Capa de detección de riesgo
La capa de detección de riesgo aborda otra cuestión crítica: ¿se pueden detectar y detener ataques antes de que causen pérdidas?
La auditoría es un chequeo estático previo al despliegue, pero la capa de detección actúa como un "sistema inmunitario en tiempo real" tras el lanzamiento del protocolo. La infraestructura más destacada aquí es Hypernative.
Fuente: Hypernative
Hypernative emplea aprendizaje automático, simulación de transacciones, análisis de grafos y monitorización de mempool para rastrear actividad anómala desde múltiples ángulos de forma continua. Es decir, no solo busca vulnerabilidades en contratos, sino que monitoriza ataques en preparación—como rutas de transacción inusuales, desviaciones de oráculo, acciones de gobernanza anómalas, phishing en front-end o comportamientos cross-protocol. (10)
El valor real de esta capacidad de detección está en su integración con controles de riesgo automatizados. Cuando el sistema determina que el riesgo ha alcanzado cierto umbral, el protocolo puede pausar mercados inmediatamente, congelar funciones específicas, ajustar LTV o techos de préstamo, aislar activos sospechosos o incluso interceptar transacciones antes de que se incluyan en un bloque.
A diferencia de las auditorías tradicionales, que ofrecen informes estáticos previos al lanzamiento, estos sistemas de detección proporcionan protección continua y en tiempo real: la auditoría responde a "qué podría salir mal", mientras la detección responde a "¿está ocurriendo algo mal ahora mismo?"
Perspectivas
Para que el seguro DeFi escale realmente, deben abordarse varios retos fundamentales.
Primero, el capital de suscripción actualmente ofrece bajos retornos, lo que lo hace mucho menos atractivo que otras oportunidades on-chain. Ya sea préstamos, market making o agregación de rendimiento, el capital suele encontrar mejores retornos en otros lugares.
Esto nos devuelve a la oferta y demanda básica: si la compensación ajustada por riesgo para los pools de seguro no es suficientemente alta, ¿quién aportará capital a largo plazo para asumir estos riesgos extremos?
Segundo, para que la capa de seguro sea efectiva, el pool de suscripción debe ser lo suficientemente grande para cubrir pérdidas de incidentes de seguridad importantes. Los eventos cisne negro pueden provocar pérdidas potenciales de cientos de millones de dólares.
Por supuesto, la gestión de riesgos no debe recaer solo en el seguro. Los protocolos también deben implementar mecanismos como timelocks y límites de retirada para evitar que la liquidez se drene instantáneamente en un solo evento. Aun así, los pools de seguro necesitan escala suficiente para ofrecer protección significativa.
Más importante aún, en comparación con TradFi, DeFi enfrenta incidentes de seguridad más frecuentes y vectores de ataque más diversos—lo que implica que la base de capital necesaria para el seguro es aún mayor, dificultando la escalabilidad.
Tercero, los protocolos DeFi actuales carecen de estructuras robustas de "mitigación de pérdidas" a nivel de diseño de sistema, lo que dificulta que la capa de seguro tarifique el riesgo de forma efectiva.
Desde la perspectiva del seguro, la cuestión clave no es si ocurrirán ataques, sino si las pérdidas pueden limitarse estructuralmente cuando suceden. En realidad, muchos protocolos permiten aún que los administradores muevan grandes sumas, cambien parámetros o incluso actualicen contratos en poco tiempo. Una vez que se comprometen los permisos, las pérdidas suelen "realizarse instantáneamente", con una pérdida en caso de impago (LGD) cercana al 100 %.
En este escenario, los pools de seguro suscriben un riesgo extremo ilimitado—riesgo casi imposible de comercializar.
Por el contrario, si los protocolos incorporan:
- Límites de tasa de retirada
- Límites de retirada por transacción/día
- Listas blancas de flujos de fondos pre-aprobados
- Timelocks obligatorios
Pueden reducir significativamente la pérdida máxima de un solo ataque, convirtiendo el riesgo "catastrófico" en riesgo "medible" y permitiendo una tarificación racional del seguro.
Cuarto, la arquitectura técnica subyacente de DeFi sigue conteniendo muchos "desconocidos desconocidos", lo que significa que los protocolos on-chain permanecen expuestos a superficies de ataque en constante evolución.
Casos recientes lo ilustran bien: la brecha de Drift se originó en el compromiso de la clave de administrador mediante ingeniería social, mientras que el incidente de KelpDAO implicó un fallo crítico en su configuración de verificador 1 de 1. Al recibir mensajes cross-chain vía LayerZero, los fondos se liberaban basándose únicamente en la verificación de un solo nodo, creando un punto de fallo único.
Estos riesgos pueden no derivar solo de bugs de código, sino surgir de diseño de permisos, validación cross-chain, procesos operativos o errores humanos. En resumen, los protocolos on-chain enfrentan no solo "riesgos conocidos", sino también muchas amenazas potenciales aún por identificar.
Incluso con plataformas como Hypernative para monitorización de seguridad en tiempo real y herramientas como Chaos Labs y LlamaRisk para evaluación de riesgo, el marco de gestión de riesgos DeFi requerirá más iteraciones antes de ser realmente maduro y fiable.
https://www.swissre.com/institute/research/sigma-research.html#:~:text=Read Más información sobre: sigma 03, 19 de noviembre de 2024
Sobre Gate Ventures
Gate Ventures es el brazo de capital riesgo de Gate, centrado en inversiones en infraestructura descentralizada, ecosistemas y aplicaciones, con la misión de transformar el mundo en la era Web 3.0. Gate Ventures colabora con líderes globales de la industria para potenciar equipos y startups con pensamiento innovador y capacidades, redefiniendo la forma en que sociedad y finanzas interactúan.
Para más información, visita: Sitio oficial | X | Telegram | LinkedIn | Medium
Aviso legal :
Este contenido no constituye una oferta, solicitud o asesoramiento de ningún tipo. Debes buscar siempre asesoramiento profesional independiente antes de tomar cualquier decisión de inversión. Ten en cuenta que Gate Ventures puede restringir o prohibir total o parcialmente sus servicios a usuarios de regiones restringidas. Para más información, consulta el Acuerdo de usuario aquí: https://www.gate.com/es/user-agreement.
