Otro día, otra vulnerabilidad. La crisis de seguridad en las finanzas descentralizadas (DeFi) basadas en cadena de bloques, antes presentadas como un desafiante de la infraestructura tradicional, solo está empeorando.
La última víctima es Volo Protocol, una plataforma construida sobre la cadena de bloques Sui, donde los usuarios depositan activos en "bóvedas" que generan rendimiento, las cuales funcionan como inversiones agrupadas. Los tokens depositados, como bitcoin, stablecoins y activos tokenizados, se utilizan mediante diversas estrategias en la cadena para generar rendimientos.
A principios de miércoles, el protocolo confirmó una brecha de seguridad que drenó un total de aproximadamente $3.5 millones en activos digitales de tres de las bóvedas. Los activos bloqueados en otras bóvedas no se vieron afectados, indicó en una publicación en X.
Los ~$28M en TVL en todos los demás fondos de Volo están seguros. El exploit se aisló en 3 fondos específicos, y hemos confirmado que no existe un vector de ataque compartido con los fondos restantes", el protocolo dijo, añadiendo que está "preparado para absorber" la pérdida financiera en lugar de trasladarla a los usuarios.
El ataque afectó bóvedas que contenían bitcoin envuelto (WBTC), el token de oro tokenizado de Matridock, XAUm, y la stablecoin vinculada al dólar USDC. En respuesta, el protocolo congeló todas las bóvedas y comenzó a trabajar con la Fundación Sui y investigadores onchain para contener el daño y rastrear los fondos.
Desde el incidente, Volo ha "congelado" $500,000 en activos mediante la coordinación con socios del ecosistema, lo que significa que esos fondos han sido inmovilizados en la cadena para evitar cualquier movimiento o retiro. Aún así, la mayor parte de los fondos robados sigue bajo investigación.
La brecha suma a la creciente inquietud en las finanzas descentralizadas, donde una serie de explotaciones ha generado preguntas sobre la seguridad de los contratos inteligentes y la supervisión de los protocolos. El momento es particularmente sensible, al ocurrir apenas días después de la explotación de KelpDAO, en la que un atacante drenó millones al acuñar artificialmente tokens de restaking líquido no respaldados, rsETH.
Las consecuencias se han extendido por el DeFi, provocando daños colaterales en múltiples protocolos, incluyendo la principal plataforma de préstamos Aave, donde los usuarios se apresuraron a retirar fondos debido a la creciente incertidumbre.
Hasta la fecha, las finanzas descentralizadas han sufrido aproximadamente $7,78 mil millones en robos, según datos de DeFiLlama. Los protocolos de puente —que permiten la transferencia de activos entre cadenas de bloques— representan otros $2,90 mil millones en pérdidas. En conjunto, la cifra supera los $10 mil millones, aproximadamente equivalente a la capitalización de mercado de las criptomonedas clasificadas entre la décima y la quinceava posición a nivel mundial.
Volo dice que publicará un informe completo de post-mortem una vez que su investigación esté completa y se finalicen los pasos de corrección.
Pero para los usuarios e inversores DeFi, un patrón más amplio se está volviendo más difícil de ignorar: mientras la adopción institucional se acelera, relativamente poco de ese capital parece estar destinado a mejorar la seguridad, con explotaciones que continúan llegando en grupos.
Lee más: El derrumbe de $13 mil millones en DeFi en dos días, y comenzó con el ataque a KelpDAO