Back to Blog

Panorama de Seguridad DeFi: 50 Actores Clave que Debes Conocer

August 30, 2024
13 min read
Key Insights

TL;DR

  • La seguridad sigue siendo un desafío crítico y continuo en DeFi, con miles de millones de dólares perdidos anualmente.
  • Las medidas de seguridad para un protocolo DeFi deben abarcar todo su ciclo de vida, asegurando tanto los aspectos inherentes como los operativos desde el prelanzamiento hasta el poslanzamiento. Es fundamental implementar estrategias preventivas y planes de contingencia para mitigar posibles ataques.
  • La seguridad previa al lanzamiento centrada en la auditoría de código se ha convertido en un consenso de la comunidad. Sin embargo, a pesar de la aparición de soluciones de seguridad posteriores al lanzamiento (p. ej., monitoreo y bloqueo de ataques), su importancia aún no ha sido completamente reconocida por la comunidad.
  • La mejora continua de las prácticas de seguridad y un cambio hacia una cultura que priorice la seguridad son esenciales para proteger los activos de los usuarios y fortalecer la confianza en el ecosistema.
DeFi Security Landscape
DeFi Security Landscape

Introducción

A medida que DeFi continúa revolucionando el panorama financiero, la seguridad sigue siendo una preocupación significativa dentro del ecosistema, con miles de millones de dólares en pérdidas cada año.

Según los datos de Chainalysis, los hackeos de DeFi en 2023 causaron pérdidas de más de 1.100 millones de dólares. Aunque esta cifra disminuyó en comparación con 2022, existen múltiples nuevas tendencias en los hackeos de DeFi en 2023. Por ejemplo, protocolos de reconocida trayectoria como Curve y KyberSwap, que habían operado de forma segura durante años, fueron hackeados. Además, se han expuesto hackeos sofisticados dirigidos a vulnerabilidades de infraestructura, como el caso de Flashbots relay.

En la primera mitad de 2024, ocurrieron más de cincuenta hackeos con pérdidas superiores a 100.000 dólares cada uno, según el Panel de Incidentes de Seguridad.

Algunos hackeos recientes en el Panel de Incidentes de Seguridad
Algunos hackeos recientes en el Panel de Incidentes de Seguridad

La seguridad es un factor crucial para la prosperidad y la adopción masiva de las aplicaciones DeFi. Esto se debe a que los protocolos DeFi gestionan miles de millones de dólares en activos de usuarios, y cualquier hackeo dirigido a estos protocolos puede ocasionar pérdidas significativas para los usuarios afectados. Aunque en algunos casos los fondos robados pueden recuperarse (parcialmente) (como en el incidente de seguridad de Euler), no podemos contar con ello siempre. Cada ataque erosiona la confianza de las personas en DeFi.

Aunque se han propuesto múltiples métodos para mejorar la seguridad en DeFi, aún queda mucho margen de mejora.

  • En el lado positivo, la auditoría de código se ha convertido en un consenso de la comunidad para garantizar la seguridad. La mayoría de los protocolos se someten a auditorías de código antes del lanzamiento, lo que ayuda a reducir las superficies de ataque causadas por vulnerabilidades en los contratos inteligentes.
  • Sin embargo, la auditoría de código por sí sola está lejos de ser suficiente para abordar todos los problemas de seguridad. No puede prevenir hackeos derivados de vulnerabilidades introducidas durante actualizaciones de contratos inteligentes, cambios de configuración y dependencias en tiempo de ejecución entre diferentes protocolos.

Debido a estas limitaciones, han surgido soluciones más proactivas, como sistemas de monitoreo operativo o detección de ataques, que han sido adoptadas por algunos protocolos.

En este blog, exploraremos el Panorama de Seguridad de DeFi trazando el recorrido de seguridad de un protocolo en diferentes etapas, desde su fase previa al lanzamiento, pasando por su etapa operativa, hasta la respuesta ante ataques. Detallaremos los distintos tipos de medidas de seguridad y destacaremos los principales proveedores (productos) en cada etapa, analizando sus ventajas y desventajas. Esperamos que nuestros análisis ayuden a la comunidad a comprender mejor el estado del arte y, lo que es más importante, a inspirar soluciones innovadoras en el futuro.

Panorama de Seguridad en DeFi

Las medidas de seguridad para un protocolo DeFi deben abarcar todo su ciclo de vida, desde la etapa de prelanzamiento hasta la etapa de poslanzamiento, garantizando tanto la seguridad inherente como la operativa del protocolo. Además, es esencial contar con medidas preventivas y planes de contingencia para hacer frente a posibles ataques. Para ayudar a los lectores a comprender las soluciones disponibles, clasificamos los proveedores (productos) de seguridad DeFi en las siguientes categorías.

Seguridad Previa al Lanzamiento

Esta categoría comprende las medidas de seguridad que se llevan a cabo antes de lanzar un protocolo, incluyendo la auditoría de código, la verificación formal y las pruebas de seguridad.

Seguridad previa al lanzamiento: servicio y concurso de auditoría de código, verificación formal y pruebas de seguridad
Seguridad previa al lanzamiento: servicio y concurso de auditoría de código, verificación formal y pruebas de seguridad

Servicio y Concurso de Auditoría de Código

La auditoría de código es una práctica de seguridad ampliamente aceptada en la comunidad para proteger un protocolo. Durante este proceso, el código es revisado por empresas de seguridad de forma semiautomática, es decir, mediante el escaneo automático del código en busca de vulnerabilidades comunes y la revisión manual para las más complejas. Entre las empresas representativas se encuentran OpenZeppelin, ChainSecurity, BlockSec, entre otras.

Además, existen plataformas de concursos de auditoría, que se diferencian de las empresas de auditoría de seguridad en la forma en que se realiza la auditoría. Estas plataformas inician el concurso de auditoría, involucran a investigadores de seguridad de la comunidad para llevarlo a cabo y distribuyen las recompensas a quienes encuentren problemas en el protocolo. Por supuesto, las plataformas pueden tener diferencias sutiles en la forma de evaluar la gravedad, el algoritmo para distribuir las recompensas y los criterios para involucrar a los investigadores de seguridad. Entre estas plataformas se incluyen Code4rena, SHERLOCK, Cantina y Secure3.

La auditoría de código (y los concursos) es la primera línea de defensa para la seguridad de los protocolos. Sin embargo, tiene limitaciones prácticas, lo que explica por qué muchos protocolos auditados por empresas de renombre siguen siendo hackeados.

  • En primer lugar, la auditoría de código estática no puede evaluar completamente los problemas de seguridad causados por las dependencias del protocolo, especialmente debido a la componibilidad de los protocolos DeFi.
  • En segundo lugar, el impacto en la seguridad de algunos problemas fue subestimado durante la auditoría de código. Por ejemplo, la pérdida de precisión es un problema común que puede ser pasado por alto tanto por los auditores como por los protocolos. Su impacto en la seguridad no fue completamente reconocido por la comunidad hasta los incidentes de Hundred Finance y Channels Finance.
  • Por último, pero no menos importante, la auditoría de código de alta calidad sigue siendo un recurso prestigioso y escaso, que requiere talento multidisciplinario con competencias en seguridad, finanzas y ciencias de la computación. Pocas universidades pueden proporcionar dicho talento de forma consistente y a gran escala en la actualidad. Por ello, los protocolos pueden ser auditados por empresas que no están calificadas para realizar este trabajo.

Verificación Formal

"La verificación formal es el acto de demostrar o refutar la corrección de un sistema con respecto a una especificación o propiedad formal determinada, utilizando métodos formales de las matemáticas". Dado que puede demostrar la corrección de los sistemas, la verificación formal se ha aplicado a los protocolos DeFi. Específicamente, puede garantizar que el comportamiento de un protocolo DeFi satisfaga la especificación formal. El representante de los productos de verificación formal para protocolos DeFi es Prover, desarrollado por Certora. Los desarrolladores proporcionan las reglas (especificación) y Prover comparará los resultados con las reglas para identificar errores explorando cada posible estado del programa.

El aspecto más prometedor de la verificación formal es que demuestra matemáticamente la corrección del protocolo DeFi. Sin embargo, en la práctica, aún presenta algunas limitaciones que obstaculizan su adopción generalizada.

  • En primer lugar, la especificación debe ser proporcionada por los desarrolladores, lo que requiere que estos tengan una especificación bien documentada del comportamiento esperado del protocolo. Esto no es sencillo, considerando que la mayoría de los desarrolladores no son expertos en esta área.
  • En segundo lugar, las actualizaciones frecuentes de un protocolo pueden requerir especificaciones actualizadas y una reevaluación del protocolo. Algunos protocolos pueden no disponer del tiempo y el esfuerzo necesarios para ello.

No obstante, la verificación formal debería ser llevada a cabo por los protocolos, especialmente los nuevos que aún no han sido probados en batalla y que gestionan activos sustanciales de usuarios. Sin embargo, mejorar la usabilidad y aumentar la tasa de adopción de la verificación formal sigue siendo un desafío continuo.

Pruebas de Seguridad

Las pruebas de seguridad se refieren al proceso de utilizar casos de prueba para encontrar errores en un protocolo. En comparación con la verificación formal, que demuestra matemáticamente la corrección del protocolo, las pruebas de seguridad generalmente usan entradas concretas en lugar de las simbólicas utilizadas en la verificación formal, por lo que son mucho más eficientes pero menos exhaustivas.

  • Foundry es uno de los marcos de desarrollo y pruebas más populares para contratos inteligentes. Los desarrolladores pueden ejecutar pruebas en Foundry. También ofrece capacidades para realizar pruebas de fuzz, pruebas de invariantes y pruebas diferenciales en protocolos DeFi.
  • Otras herramientas de pruebas de seguridad incluyen Tenderly y Hardhat.

Seguridad Posterior al Lanzamiento

Esta categoría comprende las medidas de seguridad que se llevan a cabo después de que un protocolo es lanzado (o está activo en la red principal), incluyendo recompensas por errores, detección de ataques y monitoreo operativo.

Seguridad posterior al lanzamiento: recompensas por errores, detección de ataques y monitoreo operativo
Seguridad posterior al lanzamiento: recompensas por errores, detección de ataques y monitoreo operativo

Recompensas por Errores

Los programas de recompensas por errores crean un puente entre los protocolos y los investigadores de seguridad. El concepto fundamental es incentivar a los investigadores a reportar vulnerabilidades de día cero a cambio de recompensas. Específicamente, los protocolos pueden publicar sus recompensas en plataformas de bug bounty, detallando el alcance de la recompensa y el monto ofrecido por los errores reportados. Immunefi es una plataforma representativa de bug bounty en Web3.

Detección de Ataques

Las plataformas de detección de ataques analizan las transacciones para localizar las maliciosas. Específicamente, estas plataformas examinan las transacciones que interactúan con un protocolo en busca de comportamientos maliciosos. Si se detecta una transacción de este tipo, se activa una alerta.

  • Por ejemplo, BlockSec Phalcon analiza las transacciones y utiliza un motor de detección basado en comportamiento para identificar actividades maliciosas (como contratos o propuestas maliciosas). Piense en él como un guardia de seguridad virtual que observa cada paso de una transacción financiera en busca de cualquier comportamiento sospechoso. Extrae los patrones de comportamiento de estas transacciones, como un detective analizando pistas, y luego utiliza modelos financieros —similares a los que usan los bancos para detectar fraudes— para identificar posibles ataques.
  • Sistemas similares incluyen los productos ofrecidos por Hypernative y Hexagate.
  • Además, Venn Security network de Ironblocks proporciona una infraestructura descentralizada para combinar los resultados de detección de múltiples fuentes.

Monitoreo Operativo

Los marcos de monitoreo operativo proporcionan una forma de implementar la seguridad operativa para los protocolos DeFi. Por ejemplo, el protocolo DeFi necesita conocer los cambios en las claves de administrador, realizar despliegues y actualizaciones de contratos inteligentes, y escanear automáticamente las solicitudes de extracción en busca de vulnerabilidades de seguridad.

  • OpenZeppelin Defender proporciona una plataforma que permite a los desarrolladores codificar, desplegar y operar contratos inteligentes de forma segura.
  • BlockSec Phalcon puede monitorear los riesgos asociados con actualizaciones de contratos, creación de transacciones en billeteras Safe, nuevas firmas y ejecuciones, control de acceso y gobernanza.
  • Forta Network cuenta con una infraestructura que permite a los usuarios construir sus propios bots para monitorear sus protocolos o suscribirse a bots existentes para recibir alertas de phishing o amenazas.

Respuesta ante Ataques

Esta categoría comprende las medidas de seguridad que se activan cuando ocurre un ataque, incluyendo el bloqueo de ataques, la acción automática, la sala de guerra, el análisis de causa raíz y el seguimiento del flujo de fondos del atacante.

Respuesta ante ataques: bloqueo de ataques, acción automática, sala de guerra, análisis de causa raíz y seguimiento del flujo de fondos
Respuesta ante ataques: bloqueo de ataques, acción automática, sala de guerra, análisis de causa raíz y seguimiento del flujo de fondos

Entre las cinco medidas de Respuesta ante Ataques, el bloqueo de ataques es particularmente destacable porque permite a los equipos de proyecto implementar medidas preventivas con antelación, bloqueando con éxito los ataques antes de su ejecución y reduciendo las pérdidas a cero. Las plataformas de respuesta automática también ayudan a reducir el daño causado por los ataques.

Establecer una sala de guerra, realizar un análisis de causa raíz y rastrear los fondos robados son pasos reactivos que se toman después de que ha ocurrido un ataque. Si bien estas estrategias pueden mitigar algunos daños y ayudar a prevenir ataques similares en el futuro, es posible que las pérdidas ya hayan ocurrido y sean difíciles de recuperar. Además, el daño a la reputación del proyecto y la consiguiente pérdida de confianza de los usuarios pueden ser profundos.

Los riesgos están en todas partes y a menudo escapan al control, pero elegir implementar medidas de defensa preventiva está completamente al alcance y es muy recomendable.

Bloqueo de Ataques

La detección de ataques no es suficiente en la práctica para combatir los hackeos. Esto se debe a que, sin la capacidad de bloquear hackeos automáticamente, las respuestas manuales no son lo suficientemente rápidas. En algunos casos (KyberSwap, Gamma Strategies y Telcoin en la siguiente tabla), el protocolo tarda varios minutos e incluso horas en tomar medidas manuales, lo cual es demasiado tarde para salvar los activos del protocolo. En los recientes hackeos a Velocore y Rho, se pausaron las cadenas completas de Linea y Scroll, respectivamente, lo que genera preocupaciones sobre la centralización de las cadenas L2.

El bloqueo de ataques es la capacidad de prevenir hackeos de forma automática, y requiere dos técnicas clave: detección temprana y frontrunning automático de hackeos.

  • La detección temprana significa que el sistema puede identificar las transacciones de ataque antes de que se finalicen en la blockchain, específicamente mientras aún están pendientes en el mempool.
  • El frontrunning del ataque implica colocar una transacción en la cadena antes que la transacción del ataque para pausar el protocolo, deteniendo efectivamente el ataque antes de que pueda ejecutarse.

En esta categoría, BlockSec Phalcon es el único producto que cuenta con estas técnicas clave. Después de que un hacker inicia una transacción de ataque, el motor de monitoreo de ataques de Phalcon puede detectarla de inmediato, enviar alertas de ataque a los usuarios y automáticamente hacer frontrunning para pausar el protocolo, reduciendo las pérdidas a cero. Sus técnicas clave han sido probadas en batalla con más de veinte rescates por un valor superior a 20 millones de dólares.

Acción Automática

Plataformas como Phalcon, Hexagate y Hypernative también pueden responder automáticamente cuando ocurre un ataque.

Tras suscribirse a dichas plataformas, los usuarios pueden configurar medidas de monitoreo y respuesta para diversos riesgos del protocolo. Si una transacción cumple con las reglas de monitoreo, el sistema iniciará automáticamente las acciones de respuesta preconfiguradas por el usuario (como pausar el protocolo), reduciendo así las pérdidas.

Sin embargo, algunas plataformas no cuentan con un motor de detección de ataques, y el sistema no puede reconocer directamente las transacciones de ataque ni notificar al usuario. En cambio, requiere que los usuarios personalicen bajo qué condiciones una transacción puede considerarse un ataque. Dado que las características de las transacciones de ataque son muy complejas y los usuarios (a menudo desarrolladores de contratos) pueden no tener suficientes conocimientos de seguridad, esto puede resultar bastante desafiante para ellos.

Sala de Guerra

Establecer una sala de guerra es necesario cuando un protocolo está siendo atacado. Esto puede ayudar al protocolo a comprender qué está ocurriendo, compartir la información de inteligencia en la comunidad y aprovechar los recursos para tomar medidas adicionales. Esto generalmente involucra a expertos desde diferentes perspectivas.

SEAL 911 es un proyecto para "dar a los usuarios, desarrolladores e investigadores de seguridad una forma accesible de conectarse con un pequeño grupo de profesionales de seguridad de alta confianza en caso de emergencia". Se puede acceder a través del Bot de Telegram SEAL 911. En caso de que un proyecto esté siendo hackeado, se puede establecer una sala de guerra para asistir al protocolo.

Análisis de Causa Raíz

Cuando ocurre un ataque, el protocolo necesita comprender la causa raíz, como la vulnerabilidad dentro de los contratos inteligentes y cómo fue explotada. Para ello se necesitan herramientas útiles para analizar las transacciones del ataque. Phalcon Explorer, OpenChain y Tenderly pueden utilizarse para este propósito.

Seguimiento del Flujo de Fondos

El seguimiento del flujo de fondos consiste en rastrear los fondos iniciales del atacante y las ganancias del ataque en la blockchain para localizar las direcciones y entidades relacionadas. Si los activos están fluyendo hacia entidades centralizadas (p. ej., exchanges centralizados y otras entidades de nivel institucional), se puede contactar a las autoridades para ayudar a congelar los fondos.

Varias empresas y herramientas pertenecen a esta categoría, incluyendo Chainalysis, TRM Labs, ARKHAM, ELLIPTIC, MetaSleuth y otras.

  • Por ejemplo, MetaSleuth, desarrollado por BlockSec, puede rastrear automáticamente los fondos a través de diferentes cadenas con etiquetas enriquecidas de direcciones de billetera.
  • ARKHAM tiene una comunidad donde el protocolo puede publicar una recompensa por la investigación, lo que incentiva a la comunidad a ayudar a rastrear los fondos del atacante.

Recursos Educativos de Seguridad

Las mentes informadas construyen defensas más sólidas. Más allá de los proveedores y productos de seguridad mencionados anteriormente, existe otro componente crucial de la seguridad en DeFi: las plataformas educativas.

Plataformas educativas para la seguridad en DeFi
Plataformas educativas para la seguridad en DeFi

Estas plataformas proporcionan recursos esenciales para que los profesionales y usuarios de DeFi comprendan los aspectos de seguridad, mejoren su concienciación y desarrollen habilidades de seguridad. Desempeñan un papel vital en el avance de la seguridad en DeFi. Expresamos nuestro reconocimiento a estas plataformas educativas y enumeramos algunos ejemplos destacados.

  • SΞCURΞUM: Una comunidad de Discord centrada en la seguridad de Ethereum. También organiza un cuestionario mensual de seguridad de contratos inteligentes, el "Secureum RACE."
  • Panel de Incidentes de Seguridad: Esta plataforma recopila todos los incidentes de ataque que causan pérdidas superiores a 100.000 dólares, detallando pérdidas, cadenas afectadas, vulnerabilidades, causas raíz y PoCs.
  • Rekt: Conocida como la web oscura del periodismo DeFi, Rekt ofrece análisis en profundidad de exploits, hackeos y estafas dentro del ecosistema.
  • RugDoc: Una comunidad de seguridad y educación en DeFi que evalúa los riesgos de los proyectos. También cuenta con una plataforma llamada RugDocWiKi, que introduce el ecosistema y la tecnología DeFi.
  • DeFiHackLabs: Una comunidad de seguridad Web3 con más de 2.600 miembros y casi 200 hackers de sombrero blanco, cuyo objetivo es tender un puente entre la experiencia en seguridad de Web2 y Web3.
  • Solodit: Una plataforma que recopila informes históricos de diversas empresas de auditoría Web3, sirviendo como un recurso valioso para los auditores de contratos inteligentes.
  • Ethernaut: Un juego basado en Web3/Solidity donde los jugadores identifican vulnerabilidades en contratos de Ethereum, similar a los desafíos CTF.

Conclusión

La seguridad sigue siendo una amenaza continua y grave para el ecosistema DeFi, causando miles de millones en pérdidas cada año. Actualmente, la mayoría de las medidas de seguridad se llevan a cabo en la etapa de prelanzamiento. Sin embargo, no existe una solución mágica en seguridad, y deben aplicarse diferentes métodos a lo largo de toda la vida útil de un protocolo DeFi. Esperamos que la industria adopte soluciones de seguridad posteriores al lanzamiento para monitorear y, lo que es más importante, bloquear automáticamente los ataques. Anticipamos que se establecerá una cultura que priorice la seguridad en el ecosistema para proteger plenamente los activos de los usuarios.

Lecturas Relacionadas

Sign up for the latest updates
~$5.98M Perdidos: Aztec, Raydium y Más | BlockSec Semanal
Security Insights

~$5.98M Perdidos: Aztec, Raydium y Más | BlockSec Semanal

Este informe semanal de seguridad blockchain cubre del 8 al 15 de junio de 2026, analizando 4 incidentes en Ethereum y Solana con pérdidas de ~$5.98M, incluyendo Aztec Connect y Raydium, con fallos de validación explotados tras años activos.

Análisis del Error de Solidez en Zcash Orchard | BlockSec Weekly
Security Insights

Análisis del Error de Solidez en Zcash Orchard | BlockSec Weekly

Vulnerabilidad crítica en el circuito Orchard de Zcash divulgada en junio de 2026: restricción faltante en halo2 permitía falsificación indetectable de ZEC mediante doble gasto. Existió 4 años desde mayo 2022, descubierta por IA (Opus 4.8) y corregida con actualización NU6.2.

Boletín informativo - Mayo 2026
Security Insights

Boletín informativo - Mayo 2026

En mayo de 2026, DeFi sufrió tres incidentes: Echo Protocol perdió ~$76.7M por compromiso de clave admin; StablR ~$12.8M por brecha multisig; y el puente Verus-Ethereum ~$11.7M por fallo de validación de tipos.