Abril se convirtió en el mes con más hackeos en el ámbito cripto por número de incidentes, con casi 30 casos reportados, y uno de los más grandes por valor en dólares, con pérdidas totales que superaron los $630 millones. La mayor parte de esto provino de dos exploits de DeFi, Drift Protocol y KelpDAO, que juntos representaron más del 90% de los fondos robados. Pero el impacto de un ataque también puede sentirse más allá de los protocolos hackeados. Estos incidentes pueden afectar los precios de los tokens, debilitar la confianza en DeFi y ejercer más presión sobre los fondos líquidos y centrados en el rendimiento que ya han estado luchando desde el evento récord de liquidación del 10 de octubre.

Me comuniqué con múltiples inversores y analistas para entender por qué los hackeos de DeFi están aumentando y qué podrían significar para los fondos de cripto. La mayoría dijo que es poco probable que los últimos incidentes acaben con DeFi, pero aún así podrían añadir presión a los fondos a través de precios de tokens más débiles y la exposición de las carteras.

En medio de la preocupación generalizada de que las herramientas avanzadas de IA contribuyeron al número récord de hackeos de abril, Igor Igamberdiev, mi excolega analista y ahora jefe de investigación en Wintermute, dijo que su papel no debe ser exagerado. Igamberdiev, quien también forma parte de SEAL 911, un grupo de respuesta a emergencias cripto que ayuda a los equipos durante hackeos activos e incidentes de seguridad, dijo que los modelos de lenguaje grandes han mejorado mucho recientemente y ahora pueden ayudar a los atacantes a encontrar vulnerabilidades más fácilmente y más rápido. Pero dijo que todavía es difícil llamar a la IA el principal catalizador de la última ola de exploits, especialmente cuando muchos incidentes todavía involucraron abuso de funciones administrativas e ingeniería social.

La firma de análisis de blockchain TRM Labs dijo esta semana que sus analistas han comenzado a especular que los hackers norcoreanos están utilizando herramientas de IA para investigación e ingeniería social, ya que ataques como el de Drift parecen más específicos y complejos que los compromisos anteriores de claves privadas. Varios otros inversores compartieron una opinión similar, diciendo que la IA puede estar ayudando en los ataques, pero aún no está descubriendo de forma autónoma vulnerabilidades de día cero o ejecutando exploits novedosos. (Una vulnerabilidad de día cero es una falla de software desconocida para el proveedor, dándoles cero días para parchearla antes de que los hackers la exploten).

Algunos inversores dijeron que DeFi es ahora más grande y está más conectado, por lo que hay más puntos débiles que atacar. Francis Zhan, asociado del equipo de cripto en Tribe Capital, dijo que DeFi ahora tiene más enlaces entre protocolos, lo que significa "más complejidad + más TVL [valor total bloqueado] = más superficie de ataque por dólar asegurado". Evgeny Gokhberg, fundador de Re7 Capital, y Amir Hajian, investigador de la firma de inversión en cripto Keyrock, señalaron, por su parte, que abril pareció grave por el número de hackeos, pero las pérdidas como porcentaje del TVL de DeFi todavía están por debajo de los picos de ciclos anteriores.

 

"El volumen de hackeos de abril, anualizado, apunta a aproximadamente $750 millones. Con un TVL de DeFi que se pronostica que crecerá un 31% —en línea con el crecimiento promedio interanual desde 2021— la relación entre el volumen de hackeos y el TVL continúa su declive estructural, del 7.24% en 2022 a un 1.49% proyectado en 2026", dijo Gokhberg. "El mes se sintió agudo; en el contexto de un ecosistema que madura y se expande, la trayectoria está mejorando inequívocamente".

 

Varios inversores dijeron que la seguridad ya no puede tratarse como una auditoría única antes del lanzamiento. Los equipos de DeFi ahora necesitan monitoreo continuo, una gestión de claves más sólida, mejores configuraciones de puentes, planes de respuesta a incidentes más claros y controles más estrictos sobre quién puede acceder a las funciones de administración. "El problema estructural es que los protocolos de DeFi están manejando valor a escala de estado-nación con una arquitectura de seguridad a escala de startup", dijo Anirudh Pai, socio de Robot Ventures.

El gasto en seguridad sigue siendo bajo, dijeron varios inversores. "Hay muchos, muchos protocolos que están esencialmente sin gestionar hoy en día, pero que todavía tienen millones o decenas de millones de dólares en sus contratos inteligentes. El punto de referencia correcto para el futuro no tiene nada que ver con la auditoría, eso es un requisito mínimo, sino con la atención que se presta al monitoreo en tiempo real, la gestión de claves, la respuesta a incidentes y la seguridad operativa general", dijo Rob Hadick, socio general de Dragonfly.

La IA también podría ayudar en el lado de la seguridad. "La mayoría de los protocolos todavía no tienen infraestructura de monitoreo en tiempo real; se enteran de que han sido hackeados cuando alguien tuitea al respecto", dijo Thomas Klocanas, socio gerente de Strobe Ventures. "Las herramientas de seguridad impulsadas por IA son una de las áreas de inversión más interesantes en cripto en este momento". Hadick añadió una advertencia: las startups de seguridad exclusivas de cripto han tenido dificultades históricamente porque las empresas de cripto por sí solas no han sido un mercado lo suficientemente grande como para sustentar resultados de riesgo muy grandes. Pero a medida que las stablecoins y los activos tokenizados se mueven hacia las empresas convencionales, eso podría cambiar, especialmente para las startups que resuelven problemas de ciberseguridad más amplios.

Varios inversores dijeron que los hackeos pueden ralentizar la adopción de DeFi a corto plazo, pero es poco probable que detengan el movimiento más amplio hacia las finanzas on-chain. Praneeth Srikanti, socio técnico de inversión en Ethereal Ventures, dijo que las instituciones no necesitan que DeFi esté libre de riesgos. Según él, necesitan que el riesgo sea "medido, limitado, gobernado, reportado, remediado y, cuando sea posible, transferido". Esto podría significar más capital moviéndose hacia pools permisionados.

Hadick dijo que el costo real es que estos hackeos retrasan la conversación sobre DeFi institucional entre 6 y 12 meses más y dan a los equipos de cumplimiento "más munición para seguir diciendo no, pero no esperen que tenga un impacto significativo a largo plazo", ya que los problemas de seguridad no están aislados a las criptomonedas. "Miren el hackeo de Vercel que ocurrió hace solo unas semanas, ese fue probablemente el incidente más grande que hemos tenido en años", añadió.

Hadick añadió que el capital institucional que realmente se está moviendo on-chain va a las stablecoins, las tesorerías tokenizadas, otros activos del mundo real o bóvedas de RWA, y lugares permisionados y/o aislados, señalando que esa parte del mercado continuará creciendo porque la tecnología es mucho mejor.

En particular, después del exploit de KelpDAO, la industria DeFi coordinó más de $300 millones en apoyo prometido a través del fondo DeFi United, ayudando a limitar daños mayores. Varios inversores dijeron que eso demostró que DeFi ha madurado y puede responder bajo estrés. Pero también dijeron que la industria no puede depender de rescates de emergencia cada vez que algo se rompe. "DeFi United fue en gran medida un acto de interés propio", dijo Samantha Bohbot, socia y directora de crecimiento de RockawayX. "Los participantes entendieron que sin un esfuerzo de recuperación, el daño reputacional y el contagio colateral les costarían mucho más que el rescate en sí. Señala una cierta madurez en el ecosistema, pero no debe confundirse con altruismo".

La presión a nivel de fondo

Uno de los mayores impactos puede ser en los propios fondos. Para los fondos de capital de riesgo y de renta variable, el impacto directo suele ser limitado a menos que una empresa de cartera estuviera estrechamente vinculada a los protocolos afectados. Pero los fondos líquidos y centrados en el rendimiento están más directamente expuestos porque a menudo poseen tokens DeFi, utilizan mercados de préstamos o ejecutan estrategias de rendimiento on-chain. Hadick dijo que los últimos hackeos hacen que la recaudación de fondos sea "absolutamente más difícil" para los fondos líquidos que necesitan estar on-chain y negociar activos volátiles. Añadió que los fondos de rendimiento ya estaban luchando por encontrar un buen rendimiento on-chain, mientras que los fondos líquidos han estado sufriendo desde el 10 de octubre.

Pai de Robot Ventures y Zhan de Tribe Capital dijeron que sus firmas no se vieron afectadas por los recientes hackeos. Bohbot de RockawayX dijo que su firma no tenía exposición directa a los protocolos Drift, Kelp o Resolv. Dijo que el impacto indirecto provino de cambios en las tasas de depósito y préstamo, pero no hubo "ningún efecto material" en el rendimiento del fondo. Klocanas de Strobe Ventures también dijo que su firma no tuvo exposición directa a rebajas porque no tenía empresas de cartera con un valor total bloqueado, ingresos o actividad de usuario significativos vinculados a los protocolos afectados.

Mathijs van Esch, socio general de Maven 11, dijo que las tenencias líquidas de la firma "probablemente han sufrido un golpe" a medida que los tokens de cripto reaccionaron a los hackeos y exploits, y que esto probablemente ha afectado a las carteras en todo el espacio. Añadió que esto también puede suceder en un movimiento más amplio del mercado.

Hajian de Keyrock dijo que el impacto completo de los fondos a nivel de la industria puede tardar en hacerse público. Señaló que ningún fondo líquido importante ha revelado aún una rebaja ligada específicamente a Drift o Kelp en una carta del fondo, en parte porque las cartas del segundo trimestre generalmente se esperan alrededor de mediados de julio. Pero dijo que la mecánica ya es clara y se presenta en varias capas.

La primera capa de Hajian son las rebajas directas de garantías. Cualquier fondo que poseyera rsETH durante el exploit de Kelp tuvo que decidir si marcarlo al precio de mercado más bajo o más cerca del par si creía que la recuperación de DeFi United funcionaría, dijo Hajian. Añadió que ambas opciones son defendibles, pero cada una tiene consecuencias. Los fondos sin exposición directa a rsETH aún podrían verse afectados a través de posiciones Pendle PT-rsETH, posiciones de proveedor de liquidez de Curve o estrategias estructuradas de restaking líquido. Dijo que esta parte del contagio a menudo se subestima. Un fondo puede tener cero exposición directa al activo hackeado y aún así sufrir una rebaja del 5% al ​​15% en una estrategia debido a ese riesgo inherente, añadió.

Hajian dijo que la segunda capa de presión proviene de los mercados de préstamos y las estrategias de rendimiento. Después de la caída de Kelp, Aave experimentó salidas de casi $8.5 mil millones, las tasas de préstamo se dispararon y los costos de endeudamiento de stablecoins aumentaron drásticamente. "Los fondos de rendimiento que ejecutan estrategias delta-neutrales que dependían de costos de préstamo estables sufrieron pérdidas por valor de mercado en el componente de financiación, incluso cuando su garantía no se vio afectada", dijo.

La tercera capa de Hajian es la liquidez y el "cierre". Los fondos líquidos que publican valores liquidativos diarios o semanales se enfrentan a un verdadero desafío cuando la garantía subyacente está deteriorada y la recuperación depende de un esfuerzo de rescate de varias semanas, dijo. Los fondos de rendimiento que ofrecen reembolsos mensuales pueden necesitar decidir si cerrar, crear compartimentos separados o absorber completamente las rebajas, y cada opción crea un problema diferente para los LPs, dijo. La cuarta capa se refiere a las contrapartes y las líneas de crédito. Hajian dijo que los corredores principales y las mesas OTC "no retiraron líneas de crédito en masa", pero las nuevas exposiciones sí se endurecieron. Los fondos que dependían de esas líneas de crédito para sus estrategias estructuradas de restaking tuvieron que desapalancarse a precios desfavorables o aceptar términos materialmente peores, según Hajian. "Eso es un golpe directo a los retornos netos, incluso cuando la garantía principal no se movió mucho", dijo.

En cuanto a su firma Keyrock específicamente, Hajian dijo que su negocio principal es la creación de mercado, OTC y provisión de liquidez "en lugar de fondos de rendimiento direccionales mezclados", y los marcos de riesgo operativo que la firma utiliza para su propio balance son diferentes a los de un fondo de rendimiento líquido típico. "Las implicaciones de cartera que he descrito anteriormente son más agudas para los fondos cuyo producto es explícitamente rendimiento nativo de DeFi, y esas son las estrategias donde esperaría las rebajas más visibles y los cambios en los informes en las cartas de los LPs del segundo trimestre", dijo Hajian.

Para suscribirse al boletín gratuito The Funding, haga clic aquí.