Las estafas en DeFi disminuyen, pero fallas afectan seis cadenas a la vez

Las pérdidas en DeFi han disminuido drásticamente desde su pico en 2022, pero emerge un nuevo tipo de riesgo: la posibilidad de que fondos sean drenados a través de varias cadenas a la vez. Las pérdidas por fallas en protocolos en toda la industria pasaron de $2.62 mil millones en 2022 a $534 millones en 2024, una caída del 80% que indica una mejora significativa en la seguridad de DeFi.

Los exploits en puentes, antes responsables de robos multimillonarios que acaparaban titulares, ahora representan solo una fracción del total de pérdidas en DeFi. En particular, los $1.9 mil millones perdidos por nueve hacks en puentes en 2022 –incluido el conocido robo de $624 millones al Ronin Bridge– se redujeron a solo el 3% de las pérdidas previstas para 2025.

Esto suena tranquilizador hasta considerar una amenaza más nueva y peligrosa: el despliegue repetido de bases de código idénticas en varias cadenas. Esta conveniencia a nivel arquitectónico convierte un solo error en el código en una vulnerabilidad multisistema. Un ejemplo claro es el drenaje de $128 millones ocurrido en noviembre pasado en los Composable Stable Pools de Balancer V2, que afectó simultáneamente a seis blockchains –Ethereum, Arbitrum, Base, Polygon, OP Mainnet y Sonic.

El problema fue un error de precisión aritmética que permitía a los atacantes manipular los saldos de tokens al llevar valores a los límites de redondeo y luego amplificar pequeños errores mediante swaps en cadena, hasta vaciar por completo los fondos. Esta falla pasó desapercibida en once auditorías de seguridad, lo que demuestra la sutileza y complejidad de las vulnerabilidades en DeFi actuales.

Aunque la pérdida media por incidente cayó de $6 millones en 2022 a $1.5 millones en 2025, el número de exploits individuales –83 el año pasado– aumentó. Este patrón refleja un escenario de seguridad en maduración: los ataques siguen siendo frecuentes, pero causan menos daño.

No obstante, el riesgo no desaparece, sino que se transforma. A medida que los exploits multisistema se vuelven posibles gracias a la replicación de código, la superficie de ataque se amplía, lo que podría provocar shocks sistémicos que afecten no solo a proyectos aislados, sino a ecosistemas enteros.

Tanto traders como desarrolladores deben estar atentos a estas vulnerabilidades en despliegues cross-chain. El caso Balancer establece un precedente: la cobertura de auditorías por sí sola no es suficiente. Las estrategias defensivas deberán evolucionar más allá de las revisiones básicas para evaluar las bases de código compartidas en todas las cadenas soportadas.

Ethereum sigue siendo el centro donde emergen la mayoría de estos exploits, lo que hace que sus avances en seguridad sean especialmente relevantes. Los inversores deberían seguir de cerca las próximas actualizaciones de protocolos y los ciclos de parches, sobre todo cuando se trata de código replicado en múltiples Layer-2s o sidechains.

A medida que DeFi afianza su presencia en entornos multi-cadena, las próximas grandes exploitaciones podrían dejar de ser incidentes aislados en puentes para convertirse en colapsos simultáneos causados por un solo error común. Este escenario eleva las exigencias para las firmas auditoras y los equipos de protocolo a la hora de diseñar códigos verdaderamente resilientes entre cadenas.