#DeFiLossesTop600MInApril 💥 Los dos titanes de abril: un balance final
No fueron simples "errores de código". Fueron operaciones sofisticadas y de múltiples capas ampliamente atribuidas al Grupo Lazarus.
1. Protocolo Drift (1 de abril) – ~$285M
El ataque: Esto fue una compromisión del plano de control. Los atacantes pasaron meses en una campaña de ingeniería social para infiltrarse en la capa de gobernanza.
El método: Manipularon el sistema de Nonce Duradero en Solana para ejecutar transacciones pre-firmadas que parecían legítimas para la red.
El impacto: Más del 50% del TVL de Drift fue eliminado en minutos. Esto provocó una enorme fuga de liquidez en todo el ecosistema de Solana, ya que el modelo de gobernanza "sin confianza" se demostró vulnerable a la infiltración humana.
2. KelpDAO (18 de abril) – ~$292M
El ataque: Una explotación de "Oracle/Verificador" en un puente entre cadenas.
El método: Los atacantes explotaron una configuración de verificador 1-de-1. Al comprometer dos nodos RPC internos y lanzar un ataque DDoS simultáneo en el nodo externo, pusieron al verificador en una "sala de eco".
El resultado: Engañaron al contrato en el lado de Ethereum para creer que 116,500 rsETH habían sido quemados en la cadena fuente. El contrato liberó los fondos basándose en una vista falsificada de la realidad, no en un error en el código en sí.
📉 El efecto dominó en el ecosistema
El "Choque de Confianza" que mencionaste ya se refleja en los datos:
Contagio: Tras el golpe a KelpDAO, plataformas importantes como Aave y SparkLend se vieron obligadas a congelar los mercados de rsETH para evitar que la deuda incobrable se propagara por el resto de DeFi.
El Fondo "DeFi Unido": En una desesperada medida para restaurar la confianza, la industria ha formado un fondo de ayuda de más de $300 millones (con gran ayuda de Mantle y Aave DAO) para compensar a las víctimas, pero el daño psicológico ya está hecho.
Retiro Institucional: Este mes ha detenido la narrativa de "DeFi Institucional". Muchos fondos están regresando a Bitcoin de "grado soberano" o a custodios altamente regulados.
🧠 El cambio estratégico
Tienes razón al destacar los ataques potenciados por IA. Estamos viendo un alejamiento del "hackeo de contratos" hacia la "Infiltración en Infraestructura". > La lección: Si no puedes romper la puerta de la bóveda (el contrato inteligente), secuestras a la persona con la llave (ingeniería social) o engañas a los ojos del guardia (manipulación de RPC/Oracle).
No fueron simples "errores de código". Fueron operaciones sofisticadas y de múltiples capas ampliamente atribuidas al Grupo Lazarus.
1. Protocolo Drift (1 de abril) – ~$285M
El ataque: Esto fue una compromisión del plano de control. Los atacantes pasaron meses en una campaña de ingeniería social para infiltrarse en la capa de gobernanza.
El método: Manipularon el sistema de Nonce Duradero en Solana para ejecutar transacciones pre-firmadas que parecían legítimas para la red.
El impacto: Más del 50% del TVL de Drift fue eliminado en minutos. Esto provocó una enorme fuga de liquidez en todo el ecosistema de Solana, ya que el modelo de gobernanza "sin confianza" se demostró vulnerable a la infiltración humana.
2. KelpDAO (18 de abril) – ~$292M
El ataque: Una explotación de "Oracle/Verificador" en un puente entre cadenas.
El método: Los atacantes explotaron una configuración de verificador 1-de-1. Al comprometer dos nodos RPC internos y lanzar un ataque DDoS simultáneo en el nodo externo, pusieron al verificador en una "sala de eco".
El resultado: Engañaron al contrato en el lado de Ethereum para creer que 116,500 rsETH habían sido quemados en la cadena fuente. El contrato liberó los fondos basándose en una vista falsificada de la realidad, no en un error en el código en sí.
📉 El efecto dominó en el ecosistema
El "Choque de Confianza" que mencionaste ya se refleja en los datos:
Contagio: Tras el golpe a KelpDAO, plataformas importantes como Aave y SparkLend se vieron obligadas a congelar los mercados de rsETH para evitar que la deuda incobrable se propagara por el resto de DeFi.
El Fondo "DeFi Unido": En una desesperada medida para restaurar la confianza, la industria ha formado un fondo de ayuda de más de $300 millones (con gran ayuda de Mantle y Aave DAO) para compensar a las víctimas, pero el daño psicológico ya está hecho.
Retiro Institucional: Este mes ha detenido la narrativa de "DeFi Institucional". Muchos fondos están regresando a Bitcoin de "grado soberano" o a custodios altamente regulados.
🧠 El cambio estratégico
Tienes razón al destacar los ataques potenciados por IA. Estamos viendo un alejamiento del "hackeo de contratos" hacia la "Infiltración en Infraestructura". > La lección: Si no puedes romper la puerta de la bóveda (el contrato inteligente), secuestras a la persona con la llave (ingeniería social) o engañas a los ojos del guardia (manipulación de RPC/Oracle).
