Estos son tiempos difíciles en el mundo de las finanzas descentralizadas (DeFi), un sistema de banca e inversión basado en blockchain que busca eliminar a los intermediarios tradicionales y evitar enredos regulatorios.
En tan solo las últimas 4 semanas, Curve Finance, un popular intercambiador de criptomonedas, fue pirateado por más de 70 millones de dólares después de que se descubriese un error en su lenguaje de codificación; un prestamista de criptomonedas llamado Exactly perdió 12 millones de dólares en la falla de seguridad; y los proyectos más pequeños Saddle Finance, Spirit Swap y Hundred Finance cerraron abruptamente.
Los hackeos, que alguna vez se consideraron no más que interrupciones esporádicas, han plagado las plataformas financieras descentralizadas. Entre enero y julio, la industria de la criptografía sufrió 145 ataques importantes; 117 de ellos estaban relacionados con DeFi y alcazaron aproximadamente 700 millones de dólares en pérdidas, según Kim Grauer, director de investigación de Chainalysis, una empresa de inteligencia blockchain. En 2022, se produjeron 132 hacks de DeFi durante el mismo período, lo que resultó en pérdidas por un valor total de 1.800 millones de dólares.
El atractivo de los sistemas financieros automatizados y los rendimientos que alguna vez alcanzaron el 20% han atraído a legiones de inversores y desarrolladores al redil DeFi en los últimos años, sin embargo, el camino hacia la liberación financiera ha dado un giro desagradable hacia lo que ahora parece un callejón sin salida. Los delincuentes han estado atacando a los DeFi por todos lados. Los llamados contratos inteligentes que son un sello distintivo de DeFi, diseñados para eliminar la necesidad de banqueros y abogados, han demostrado estar repletos de vulnerabilidades y, como resultado, estas plataformas han proporcionado objetivos jugosos para los ciberdelincuentes.
Fondos robados de plataformas DeFi, 2019-presente
Estos problemas se han vuelto existenciales a la luz de la rápida caída de la participación de mercado de DeFi. El valor total bloqueado, o TVL, (la cantidad en dólares de criptomonedas mantenidas en proyectos DeFi) ronda ahora los 37 mil millones de dólares, según el agregador de datos DeFi Llama, un mínimo no visto desde febrero de 2021. Eso coloca a los activos en toda la categoría, que prometía eliminar la necesidad de bancos como JPMorgan, por debajo de los de un banco regional de tamaño mediano. En su punto máximo en noviembre de 2021, el TVL se situó en aproximadamente 178 mil millones de dólares.
El mayor deflactor de la burbuja DeFi ha sido la caída de los precios de las criptomonedas, según Anders Helseth, vicepresidente de investigación de K33, una firma de investigación de activos digitales. Dado que Bitcoin y Ether cotizan más de un 60% por debajo de sus máximos históricos, el valor de los protocolos descentralizados que contienen los tokens también se ha desplomado.
Valor total de los activos bloqueados en protocolos DeFi (TVL)
Además, el aumento de las tasas de interés de los activos de bajo riesgo está haciendo que DeFi sea cada vez menos atractivo para los inversores, según Mark Connors, jefe de investigación de 3iQ, un administrador de fondos de inversión en activos digitales canadiense. Las tasas del Tesoro a un mes están rindiendo un 5,56%, más que las tasas de las principales monedas estables, USDC y USDT, que oscilan entre el 2,7% y el 4,6% en protocolos de préstamos descentralizados populares como Aave, JustLend y Compound, según DeFi Llama .
Muchas plataformas simplemente han cerrado sus operaciones en las últimas semanas. DappRadar, un rastreador de aplicaciones descentralizadas, ha eliminado de la lista un total de 105 aplicaciones DeFi en lo que va de año.
Los hackers no son el único problema. En julio, el equipo detrás de AlgoFi, un gran prestamista en la cadena de bloques Algorand, anunció el cierre de la plataforma debido a «una confluencia de eventos«. Aunque los desarrolladores no mencionaron razones específicas, probablemente influyó la designación del token ALGO de Algorand como ‘valor‘ por parte de la Comisión de Bolsa y Valores de EE.UU. en abril. Tras esta designación de la SEC, las plataformas comerciales Bakkt y eToro eliminaron de la lista a ALGO junto con un puñado de otros tokens nombrados por el regulador.
Además de las medidas enérgicas de la SEC, los legisladores también piden una mayor supervisión del sector. En julio, un grupo bipartidista de senadores presentó un proyecto de ley llamado Ley de Aplicación y Mejora de la Seguridad Nacional de Criptoactivos de 2023. Si se promulga, requeriría que las plataformas DeFi mantengan un programa contra el lavado de dinero, vigilen a los clientes e informen acerca de transacciones sospechosas a la Red de Ejecución de Delitos Financieros del Departamento del Tesoro, es decir, cumplir con las mismas reglas que los intermediarios financieros como bancos y corredores de valores, los mismos intermediarios que DeFi busca reemplazar con software.
“Los cajeros automáticos DeFi y cripto son parte de una tecnología en gran medida no regulada que necesita una supervisión y barreras más estrictas para evitar el lavado de dinero desenfrenado y la evasión de impuestos”, dijo el senador Jack Reed (D-RI) en un comunicado. «Esta legislación refuerza las herramientas del Departamento del Tesoro para proteger nuestra seguridad nacional y económica».
El mensaje se hacía eco de una evaluación del riesgo de finanzas ilícitas realizada sobre las finanzas descentralizadas por el Departamento del Tesoro de EE. UU. a principios de este año, que avanzaba la opinión de que los servicios descentralizados deberían implementar el cumplimiento contra el lavado de dinero bajo la Ley de Secreto Bancario.
La amenaza de regulación no es una amenaza tan grave para DeFi como lo han sido las casi continuas violaciones de seguridad que erosionan la confianza de los inversores. Un ataque reciente a Curve, un importante intercambio de monedas estables con 2.400 millones de dólares en depósitos, provocó conmociones en todo el sector cuando quedaron expuestas las vulnerabilidades en múltiples proyectos que utilizan el mismo lenguaje de programación, al igual que decenas de millones de préstamos personales otorgados por el fundador de Curve, Michael Egorov, que estaban respaldados en gran medida por el token CRV de Curve.
El episodio provocó un pánico de liquidación: la fuerte venta masiva de CRV después del hackeo hizo que el valor del token cayera. Si el precio del CRV hubiera perdido más del 33%, los protocolos de préstamo habrían vendido automáticamente la garantía. El hacker finalmente devolvió alrededor de 52,3 millones de dólares de los 73,5 millones de dólares en fondos robados, según la firma de seguridad blockchain PeckShield. Aún así, han resurgido preguntas sobre la gestión de riesgos en DeFi.
“Imagínense un sistema en el que los bancos quebraran un martes sí, uno no. No creo que mucha gente deje su dinero allí”, dice Austin Campbell, profesor adjunto de la Columbia Business School y socio director de Zero Knowledge Consulting, centrado en blockchain. «Va a ser difícil lograr que un número significativo de personas vuelva a usarlo porque la realidad es que todos están preocupados por ser pirateados todo el tiempo«.
«Nosotros (y muchos constructores de nuestra industria) no creemos que este sea el final en absoluto; más bien, es una llamada para protocolos diseñados de manera más responsable«, argumenta Evan Kuo, fundador de Fragments, la empresa de desarrollo detrás de los protocolos Ampleforth y SPOT. «Los protocolos DeFi deberían haber sido, y pueden ser, diseñados para evitar riesgos sistémicos como liquidaciones en cascada«.
Pero los ataques y las infracciones seguirán ocurriendo, dice David Schwed, director de operaciones de la firma de seguridad blockchain Halborn. “Con un simple exploit o una táctica de ingeniería social, puedo ganar 100 millones de dólares. Por eso, los mejores hackers del mundo, incluidos los atacantes patrocinados por el Estado como el Grupo Lazarus de Corea del Norte, se están centrando en este mercado».
El otro desafío es que es un mercado relativamente incipiente en el que se ven proyectos que no están muy bien financiados. «Sabes, un cheque de 3 a 5 millones de dólares suena genial, pero no es suficiente para hacer frente a lo que yo llamo seguridad a nivel bancario o seguridad a nivel empresarial», dice Schwed.
Muchos proyectos DeFi requieren muchos desarrolladores y tienen muy poca o ninguna supervisión de seguridad. Desgraciadamente, en muchos casos la seguridad se considera como una idea de último momento, añade Schwed. «Hay mayores riesgos… No estoy diciendo que sea una receta para el desastre, pero no me sorprende que sigan produciéndose ataques en 2023».
Mientras tanto, “el mercado DeFi está buscando narrativas llamativas”, dice Anders de K33. “Pero mayoritariamente se convierten en expectativas de corta duración”, añade.
Tomemos como ejemplo friend.tech, una aplicación que permite a los usuarios comprar y vender “acciones” (ahora llamadas “claves”) de sus personalidades de X (anteriormente conocidas como Twitter) favoritas. La semana pasada fue aclamado como el nuevo favorito de las criptomonedas en las redes sociales. Apenas dos semanas después de su lanzamiento, las tarifas comerciales de friend.tech crecieron hasta 1,7 millones de dólares por día, suficiente para rivalizar con los principales protocolos descentralizados, incluidos Uniswap y MakerDAO. Sin embargo, sus tarifas se han desplomado desde entonces, a alrededor de 215.000 dólares por día recientemente, según DefiLlama. Las transacciones también disminuyeron de las casi 525.000 por día de hace dos semanas a poco más de 51.000 por día, según datos de Dune Analytics.
Mientras las plataformas DeFi luchan por seguir siendo viables, algunos usuarios están aparcando su dinero digital en otra criptoinvención arriesgada y dudosa conocida como apuesta “líquida”. Los llamados protocolos de participación líquida, como Lido, permiten a los inversores pignorar o apostar tokens como ether y obtener rendimiento a cambio de otro token que pueden poner a trabajar en otros protocolos y aplicaciones DeFi como Uniswap para ganar aún más dinero. Al igual que DeFi, las apuestas líquidas se basan en contratos inteligentes y tienen muchas de las características de una futura burbuja. Estos protocolos ya han acumulado en conjunto 20,3 mil millones de dólares (casi dos tercios del TVL total de DeFi), aunque DefiLlama no los incluye en la métrica para evitar el doble conteo, y Lido es ahora el protocolo de mayor apuesta con 14 mil millones de dólares de criptomonedas bloqueadas dentro de sus contratos.
Que le den a DeFi, en el mundo de las criptomonedas, la esperanza es eterna.