Abril de 2026 debería inquietar a cualquiera que todavía trate la seguridad de DeFi como una simple secuencia de errores aislados. El balance inicial del mes, con más de $606 millones robados en 12 incidentes durante 18 días, fue reportado como el peor periodo para los robos cripto desde el hackeo de $1.400 millones a Bybit.
Los dos golpes más grandes, Drift Protocol y Kelp DAO, representaron casi el 95% de esas pérdidas, con actores vinculados a Corea del Norte sospechados o identificados en los ataques más importantes. Sin embargo, la verdadera crisis es arquitectónica, no solo criminal.
Lazarus no necesitó refutar filosóficamente la descentralización. Solo tuvo que explotar las costuras operativas que DeFi ha normalizado: verificación cross-chain, confianza en firmantes, supuestos sobre oráculos y composabilidad del colateral. Eso es lo que hace distinta a esta ola. Sugiere que el modelo de seguridad de la industria quizá está defendiendo las amenazas de contratos inteligentes de ayer, mientras los atacantes de hoy apuntan con precisión a todo lo que rodea al contrato. Para inversionistas y desarrolladores, esto debería leerse como una advertencia de nivel directivo.
La pila de seguridad de DeFi necesita reiniciarse
Los ataques de abril no solo fueron más grandes; también fueron más reveladores desde el punto de vista estratégico. Chainalysis describió el incidente de Drift como una pérdida de $285 millones facilitada por acceso privilegiado, ingeniería social, autorizaciones prefirmadas y una migración del Security Council sin timelock.
Eso se parece menos a un exploit de código convencional y más a espionaje corporativo hostil ejecutado a través de maquinaria de gobernanza. Aquí, las auditorías nunca fueron suficientes, porque la falla decisiva estuvo entre las personas, los permisos y la intención de las transacciones.
Si los firmantes pueden ser manipulados para autorizar control administrativo futuro, un protocolo puede ser formalmente descentralizado y, al mismo tiempo, estar comprometido en la práctica. DeFi suele celebrar la minimización de la confianza, pero muchos sistemas críticos todavía dependen de pequeños comités, consejos de emergencia, multisigs y contextos de ejecución opacos. Esos mecanismos pueden ser necesarios, pero fingir que no son superficies de ataque ya es una responsabilidad de gobernanza. La lección es incómoda: la seguridad debe inspeccionar la intención antes de la ejecución, no solo el código antes del despliegue.
Kelp DAO expuso otro punto débil: las finanzas cross-chain pueden convertir la comodidad en fragilidad sistémica. SecurityWeek reportó que el robo de aproximadamente $290 millones involucró infraestructura de verificación de LayerZero, RPC comprometidos, presión mediante DDoS y un mecanismo de respaldo que presuntamente permitió que instrucciones maliciosas pasaran como válidas.
LayerZero y Kelp disputaron la responsabilidad, y ese es precisamente el problema. Cuando la responsabilidad se fragmenta entre capas de infraestructura, los usuarios siguen experimentando una pérdida unificada.
Un puente, un oráculo, un verificador, un relayer, un mercado de préstamos y un token de liquid restaking pueden reclamar cada uno su propio mandato limitado, pero la composabilidad fusiona sus riesgos en un solo radio de impacto.
Una vez que la confianza en rsETH se quebró, el contagio golpeó mercados de préstamos y condiciones de liquidez más allá del protocolo de origen. Eso no significa que la mensajería cross-chain esté condenada. Significa que los esquemas con verificadores 1-de-1, la lógica de respaldo débil y los supuestos de colateral reutilizable son incompatibles con ecosistemas de miles de millones de dólares.
El mercado quería interoperabilidad sin fricción. Recibió un diagrama de riesgo empresarial disfrazado de experiencia de usuario. Entonces, ¿necesita DeFi una revisión radical de seguridad? Sí, pero no una que esterilice la innovación permissionless hasta convertirla en software bancario con tokens.
La mejor respuesta es resiliencia obligatoria desde el diseño: auditorías independientes más simulación previa a la ejecución, timelocks por defecto para acciones privilegiadas, circuit breakers ante retiros anormales, umbrales de liquidez para oráculos, configuraciones cross-chain con múltiples verificadores, planes de respuesta transparentes y pools de seguros financiados de acuerdo con la exposición real del TVL.
Estos controles añadirán fricción. Ese es el punto. DeFi ha pasado años externalizando los costos de seguridad hacia los usuarios mientras vende la composabilidad como una ventaja pura.
La ola de hackeos de abril muestra que el costo de la innovación permissionless no es el robo en sí mismo; es la disciplina necesaria para evitar que la apertura se convierta en una superficie de explotación antes de que vuelva a escalar más capital. Lazarus simplemente aceleró la conversación en la sala de juntas.
