El contagio en la sombra de DeFi: cuando un hackeo de $25M desencadena $500M en pérdidas en cascada

El 22 de marzo de 2026, un atacante depositó unos 100,000 dólares de USDC en un protocolo de monedas estables del que la mayoría del mundo cripto nunca había oído hablar. Diecisiete minutos después, se marchó con aproximadamente 25 millones de dólares en ETH. Al final de la semana, el daño real no era de 25 millones de dólares. Era de más de 500 millones de dólares, repartidos por mercados de préstamos que nunca habían sido tocados por el propio exploit.

Bienvenidos al problema del contagio en las sombras de DeFi: el riesgo sistémico que nadie está valorando, porque nadie tiene un mapa de las tuberías.

El incidente de Resolv no se trataba realmente de Resolv

La mecánica del hackeo de USR de Resolv fue casi aburrida. Los atacantes comprometieron el AWS Key Management Service de Resolv Labs, obtuvieron la autoridad de firma SERVICE_ROLE del proyecto y acuñaron 80 millones de USR en dos transacciones. Una falta de verificación de acuñación máxima permitió que drenaran el pool de redención antes de que los oráculos pudieran reaccionar. USR se desplomó de 1.00 dólar a 0.025 dólares. El atacante se quedó con el ETH.

Historia estándar de pérdida de paridad de una moneda estable. Excepto que USR había pasado los meses anteriores convirtiéndose silenciosamente en colateral en quince bóvedas de Morpho Blue, un silo de liquidez de Fluid y mercados en Euler, Venus, Lista DAO e Inverse Finance.

Cuando USR bajó a 2.5 centavos, cada una de esas posiciones quedó repentinamente infracolateralizada. Lo que siguió no fue un hackeo de Morpho, Fluid o Euler. Su código funcionó exactamente como fue diseñado. El problema es que "funcionar según lo diseñado" ahora significa liquidar automáticamente cientos de millones de dólares en posiciones en el momento en que un activo de referencia cae, independientemente del motivo de la caída.

Según el informe de seguridad del primer trimestre de 2026 de Sherlock y los análisis post-mortem seguidos por The Defiant:

• Fluid/Instadapp absorbió más de 10 millones de dólares en deuda incobrable y registró más de 300 millones de dólares en salidas de capital en un solo día — el peor en la historia del protocolo.
• Quince bóvedas de Morpho se vieron afectadas, y los depositantes se vieron obligados a asumir pérdidas o salir a tasas punitivas.
• Euler, Venus, Lista DAO e Inverse Finance pausaron los mercados de USR, pero solo después de que las liquidaciones ya se hubieran ejecutado.

Un exploit de 26.8 millones de dólares generó más de quinientos millones de dólares en liquidaciones y salidas combinadas. El multiplicador no era el apalancamiento en el sentido tradicional. Era la composabilidad.

Drift, nonces duraderos y la rama de Solana del mismo problema

Once días después, el 1 de abril, una versión diferente del mismo patrón se repitió en Solana. Drift Protocol, la mayor plataforma de perpetuos de la red, fue drenada por 286 millones de dólares. El vector de ataque fue técnicamente fascinante: los atacantes abusaron de la función de nonces duraderos de Solana para engañar a los miembros del Consejo de Seguridad para que firmaran previamente a ciegas transacciones inactivas que luego transfirieron el control administrativo. Se creó un token falso ("CVT") con semanas de antelación, se le asignó un oráculo de precios controlado y luego se designó como colateral con límites de préstamo infinitos una vez que el control del protocolo cambió de manos.

El agujero directo en Drift fue de aproximadamente 286 millones de dólares. Pero según Elliptic y Chainalysis, al menos una docena de protocolos adicionales de Solana pausaron sus operaciones porque sus estrategias, bóvedas o rutas de liquidez tocaban a Drift. El propio TVL de Drift colapsó de unos 550 millones de dólares a menos de 250 millones en un solo día, según Bloomberg.

El patrón es el mismo que vimos con Resolv:

1. Un solo protocolo se ve comprometido en una capa que no tiene nada que ver con su código Solidity o Rust — una clave KMS en la nube, una ceremonia de firma multisig o un oráculo en el que confía.
2. Ese compromiso corrompe un activo o mercado que docenas de protocolos derivados tratan como una entrada limpia.
3. La maquinaria de liquidación automática y "sin confianza" en los protocolos derivados convierte la corrupción en deuda incobrable realizada a velocidad de máquina.

El Protocolo A muere. El Protocolo B liquida. El Protocolo C asume la deuda incobrable. Ninguno de ellos ejecutó el exploit.

Por qué esto se parece incómodamente a la estructura de los CDO de 2008

Cualquiera que haya vivido la crisis financiera global encontrará la estructura familiar. En 2007–2008, el problema no fue que una sola hipoteca subprime entrara en mora. El problema fue que las hipotecas se habían envuelto en CDO, esos CDO se habían envuelto en "CDO al cuadrado", y cada paso de empaquetado ocultaba la exposición subyacente. Cuando un sector de las subprime falló, nadie podía saber quién poseía qué.

La versión de DeFi es diferente en un aspecto importante: todos los datos están en la cadena (on-chain). En principio, cualquier analista puede rastrear exactamente qué bóveda de Morpho aceptó USR, con qué factor de colateral y bajo qué umbral de liquidación. El informe de 2023 del FSB sobre los riesgos de estabilidad financiera de DeFi ya señaló esto como una característica y un peligro a la vez: la transparencia hace que el contagio sea más rápido y más visible simultáneamente.

En la práctica, casi nadie realiza este mapeo en tiempo real.

Trabajos académicos recientes (Systemic Risk in DeFi: A Network-Based Fragility Analysis, el Unified DeFi Risk Index de Shah y Mapping Systemic Tail Risk in Crypto Markets de MDPI) convergen en un punto preocupante: los choques que se originan en un solo protocolo ahora se propagan a través de colaterales compartidos, unidades de cuenta comunes y contratos inteligentes estrechamente vinculados, amplificando las perturbaciones locales en tensiones sistémicas. La composabilidad se comercializó como la mayor innovación de DeFi: los "money Legos". Resulta que cada Lego es estructural para piezas con las que nunca fue presentado formalmente.

La analogía de 2008 también se rompe en otra dirección: el contagio de DeFi se mueve en minutos, no en semanas. No hay un "fin de semana de Bear Stearns". Para cuando un gestor de riesgos humano lee el primer tuit sobre un exploit, las liquidaciones de tercer orden ya se han ejecutado.

Tres razones estructurales por las que el contagio se está acelerando

1. El colateral es cada vez más sintético y cruzado entre protocolos. El USR en esas quince bóvedas de Morpho no era una stablecoin ingenua — era un sintético que genera rendimiento cuya garantía dependía de la infraestructura fuera de la cadena (off-chain) de Resolv. Lo mismo ocurre con una porción creciente de activos LST, LRT y activos "estables" en todo el ecosistema. Cada envoltorio (wrapper) sintético está a un compromiso operativo de convertirse en colateral tóxico.

2. El listado sin permisos es la norma, pero la revisión de riesgos no lo es. El modelo de mercados aislados de Morpho Blue, el kit de bóvedas de Euler v2 y las capas de liquidez de Fluid permiten a los curadores crear mercados en torno a nuevos activos rápidamente. Esa velocidad es el objetivo — y el error —. Los curadores toman decisiones de riesgo activo por activo; casi ninguno de ellos modela cómo se comportará su nuevo mercado si el emisor de un activo que aceptan se ve comprometido tres capas más abajo en la pila tecnológica.

3. La liquidación es determinista y rápida. Lo mismo que hace que el préstamo en DeFi sea eficiente en términos de capital — la liquidación automática impulsada por oráculos — es lo que convierte un shock de precios en pérdidas realizadas sin ningún interruptor de circuito humano. Las finanzas tradicionales tienen paradas de negociación, ventanas de liquidación y reestructuraciones negociadas. DeFi tiene un productor de bloques y un bot guardián (keeper bot).

Cómo se verían realmente las "pruebas de estrés de composibilidad"

Los bancos realizan pruebas de estrés ante recesiones hipotéticas y shocks de tasas porque los reguladores lo exigen. DeFi no tiene nada equivalente para su vector de riesgo más importante. Un régimen creíble de pruebas de estrés de composibilidad necesitaría al menos tres ingredientes:

• Mapas de radio de impacto a nivel de activo. Para cualquier token utilizado como colateral o liquidez, ¿qué protocolos lo mantienen, en qué tamaño, con qué factor de colateral y con qué dependencia de oráculo? Herramientas como los paneles de riesgo de Gauntlet y Chaos Labs tienen piezas de esto, pero la cobertura es desigual y privada.
• Escenarios de shock vinculados al fallo del emisor, no solo al precio. Una caída del 50 % por condiciones de mercado es un escenario bien estudiado. Una caída instantánea del 97.5 % porque la cuenta de AWS del emisor fue vulnerada no lo es. Estos requieren diferentes supuestos de recuperación — no se puede asumir una ruta de redención funcional —.
• Interruptores de circuito entre protocolos. Alguna combinación de interruptores de circuito de oráculos, guardianes de pausa o ventanas de liquidación retardadas para activos en respuesta activa a incidentes. Las discusiones sobre el envoltorio legal de Uniswap, el módulo de seguridad Umbrella de Aave y los ganchos (hooks) de pre-liquidación de Morpho insinúan primitivas aquí, pero la coordinación entre protocolos es efectivamente inexistente.

La incómoda verdad es que la mayor parte de esta infraestructura no se construirá de manera proactiva. Se construirá después de un exploit que se propague en cascada a través de $5B o$ 10B en lugar de $ 500M — un escenario que, dada la trayectoria actual, no es una cuestión de si sucederá, sino de cuándo —.

El ángulo de la infraestructura que los constructores de DeFi no pueden ignorar

Para los equipos que construyen mercados de préstamos, DEX de perpetuos, stablecoins o protocolos de RWA, los incidentes de Resolv y Drift deberían agudizar tres preguntas operativas:

• ¿Dónde se sitúa su protocolo en los gráficos de dependencia de otras personas? Si usted es un emisor de colateral, es sistémicamente relevante mucho antes de que lo parezca.
• ¿Qué tan rápido puede obtener un estado confiable de cada cadena que toca? El conocimiento en tiempo real de eventos de desanclaje (depeg), desviación de oráculos y presión de liquidación entre protocolos depende de una infraestructura que realmente se mantenga al día con la red principal (mainnet) — no de un RPC público de "mejor esfuerzo" que se retrasa exactamente en los minutos que más importan —.
• ¿Dónde está su propio punto único de falla operativa? El hack de Resolv no fue un error de Solidity. Fue un error de gestión de acceso a la nube. Drift no fue un error de Rust. Fue un error en la ceremonia de firma. El próximo vendrá de cualquier costura de su pila tecnológica en la que haya dejado de pensar.

BlockEden.xyz opera infraestructura de RPC, indexadores y datos de grado empresarial en Sui, Aptos, Ethereum, Solana y más de 27 cadenas adicionales — el tipo de base de baja latencia y alta confiabilidad que los protocolos necesitan para detectar y responder a los shocks de composibilidad en tiempo real. Explore nuestro Marketplace de API si está construyendo donde un bloque extra de latencia es la diferencia entre un mercado pausado y una amortización de deuda incobrable de $ 10M.

La conclusión

La composibilidad de DeFi es real, y las ganancias de productividad que desbloquea son reales. Pero la industria ha pasado cinco años hablando de Legos de dinero y casi cero años hablando de lo que sucede cuando uno de los ladrillos de la base se convierte en arena. Resolv demostró que un compromiso a nivel de emisor de $25M puede generar más de$ 500M en pérdidas derivadas en una semana. Drift demostró que el patrón no es específico de una cadena, ni de un activo, y no se limita a errores de contratos inteligentes.

Hasta que el ecosistema trate la exposición entre protocolos como un riesgo de primer nivel — con mapas compartidos, pruebas de estrés compartidas e interruptores de circuito compartidos — el próximo exploit "pequeño" causará un daño mucho mayor de lo que sugiere su cifra de portada. Las tuberías ya están ahí. Alguien solo tiene que dibujarlas antes de que lo haga el próximo atacante.

Fuentes

• Sherlock — Informe de seguridad Web3 Q1 2026
• The Defiant — DeFi ha presenciado el exploit de USR de $25M de Resolv muchas veces antes
• Halborn — Explicación: El hackeo de Resolv (marzo de 2026)
• Exploit de Resolv USR: Análisis completo
• Elliptic — El protocolo Drift fue explotado por $286M
• Chainalysis — Lecciones del hackeo de Drift
• CoinDesk — Cómo los nonces duraderos de Solana permitieron a los atacantes drenar Drift
• FSB — Riesgos para la estabilidad financiera de las finanzas descentralizadas (2023)
• arXiv — Riesgo sistémico en DeFi: Un análisis de fragilidad basado en redes
• MDPI — Mapeo del riesgo de cola sistémico en los mercados de criptomonedas