Análisis detallado: El impacto industrial del incidente de seguridad de Aave Conclusión al principio: 1. La narrativa de seguridad de L2 está rota. Antes se decía que era tan segura como la red principal, pero ahora parece que se debe sacrificar rsETH en L2. 2. Todas las narrativas de restaking en ETH han colapsado por completo. Tras capas y capas de complejidad en EigenLayer, se descubrió que los rendimientos (llamados “staking de nodos de seguridad AVS”) son menores que los riesgos generados por la complejidad. 3. DeFi está dañado. No está completamente muerto, pero una contracción masiva es inevitable. La gente ha entendido que los problemas de seguridad en cadena no se pueden evitar; además, las plataformas que pierden dinero simplemente se van sin responsabilidad (el clásico riesgo de agente). 4. Este incidente必然 ha causado pérdidas a usuarios. Porque Kelp es pobre y no puede compensar. --------------------------------------------------------- No analizaremos los detalles del proceso, ya que otros lo han hecho muy bien. En resumen: los hackers norcoreanos comprometieron a Kelp, cruzaron cadenas mediante LayerZero en L2 para imprimir criptomonedas ficticias y saquearon la caja fuerte de Aave. Ahora Kelp, LayerZero y Aave se están peleando por repartirse la responsabilidad. 1. Narrativa de seguridad de L2 Anteriormente, todas las L2 —ya fueran Optimistic Rollups o ZK Rollups— afirmaban tener la misma seguridad que la red principal ETH. Estrictamente hablando, el problema no fue un ataque al consenso o al secuenciador de L2 en sí, pero a los usuarios no les importa si fue el puente el que fue hackeado o si L2 se cayó; el resultado es que “rsETH impreso en L2 se convirtió en aire, mientras que la red principal, al no haber pasado por un puente cruzacadena, se salvó”. La respuesta oficial de Aave fue: “rsETH en la red principal está completamente respaldado”, y congeló simultáneamente todos los mercados WETH y rsETH en L2 como Arbitrum, Base, Mantle y Linea. En otras palabras: los usuarios de la red principal y los usuarios de L2 no son iguales; los usuarios de L2 se convirtieron en ciudadanos de segunda clase https://t.co/14aPSMvLlJ 2. Las narrativas de restaking en ETH colapsaron por completo El servicio de validación de seguridad AVS de EigenLayer Tras dos años, aún no ha emergido un modelo de negocio rentable. Sí, verás que EigenLayer anuncia ingresos millonarios, pero si lo analizas con cuidado, la mayoría provienen de subsidios en tokens Eigen, similar a Filecoin: gritan fuerte, pero su aplicación real es muy nicho... y termina siendo simplemente vender tokens. (“Te doy 4 millones de dólares en tokens Eigen, desbloqueables en dos años, a cambio de que pagues 1 millón de dólares por el servicio de EigenLayer”) Para los usuarios, tras el incidente con Kelp, se dieron cuenta: el 2% adicional de tasa de staking no compensa el riesgo. Después de todo, cuantas más capas añadas, mayor es la probabilidad de fallo. En casos extremos, los rendimientos son lineales, pero los riesgos son exponenciales. 3. DeFi está dañado La llamada “permisividad” (permissionless) del web3 solo puede existir en los sueños. Demasiados problemas fundamentales son irresolubles. La mayoría de los protocolos DeFi son, en esencia, “código controlado por billeteras multisig”. 1) Oportunidad vs Seguridad: permissionless Este es un problema irresoluble. ¿Por qué las transferencias bancarias tradicionales son caras y lentas? Gran parte es por la seguridad: requieren múltiples controles y revisiones. (¿Cuántas veces has oído que alguien robó dinero directamente de una cuenta bancaria?) Entonces, ¿cómo hacerlo en DeFi? ¿Acaso debes escribir toda la lógica de control de riesgos en contratos inteligentes para que cualquiera pueda revisarla? 2) Permissionless vs Lucha contra el lavado de dinero Al igual que el control de riesgos, las reglas contra el lavado de dinero y las revisiones son definidas por humanos y tienen reglas activables. No es posible tener ambas cosas: permisividad total y cumplimiento anti-lavado. Incluso si la IA realiza las revisiones, las reglas de la IA fueron definidas por humanos. Claro, puedes decir que DeFi no necesita anti-lavado. Pero claramente la mayoría de los países no lo aceptarán. Ahora solo te están dejando una puerta abierta. En el siglo XXI, las transacciones financieras no pueden evitar el anti-lavado; es solo cuestión de tiempo. 3) El factor humano nunca se eliminará La mayoría de los protocolos DeFi son, en esencia, “código controlado por billeteras multisig”, y la razón es simple: a) En protocolos de préstamo, nuevos tokens, parámetros de préstamo y configuraciones oracle son definidos y modificables por humanos. b) La mayoría de los protocolos son actualizables; si se roban las claves privadas, todo se pierde como en Drift. c) El sitio web frontend es controlado por el equipo. Por ejemplo, @pendle_fi, @Morpho y todos los protocolos DeFi pueden retirar un mercado, ocultarlo o marcarlo como riesgoso. Los dispositivos de desarrolladores pueden ser comprometidos, la cadena de suministro puede ser envenenada, y los dominios pueden ser atacados (como el reciente ataque al dominio de CoW Swap). ¿Existe algún protocolo DeFi puro web3, ideal? Solo puedo pensar en uno: Tornado Cash —y todos sabemos cómo terminó. Si dices que ese es el futuro de DeFi, entonces no tengo nada más que decir. 4) Riesgo del agente profesional no está alineado Cuando un protocolo web3 es robado, los desarrolladores y administradores asumen pérdidas limitadas; ni siquiera hay responsabilidad penal. Te doy un ejemplo típico: @arc —la cadena L1 emitida por Circle, matriz de USDC— ¿cuál es la recompensa más alta para hackers éticos que descubren bugs? : 5000 dólares. https://t.co/OJ0Zo6KynS Un bug de nivel más alto podría causar pérdidas de cientos de millones de dólares; ofrecer solo 5K USD en recompensa no es algo que una persona con cerebro normal podría concebir. La razón es simple: la recompensa para hackers éticos sale del bolsillo propio; las pérdidas por robo las asumen otros. Veamos el sector financiero tradicional: bancos y compañías de bonos. - Si un hacker roba dinero real, los gerentes responsables podrían enfrentar cargos por negligencia grave e incluso ir a la cárcel. - Nivel 3/4 de protección: clasifican datos financieros en 5 niveles con medidas específicas de protección; datos contables críticos deben exportarse periódicamente a bibliotecas físicas de cintas o discos ópticos fuera de línea... ¿Y DeFi? No tiene ninguna norma; todo depende del autocontrol del protocolo. Finalmente, tras dar vueltas, todos descubrieron que DeFi sigue siendo CeDeFi.Cuando ganas dinero, es xxx Lab quien recoge el dinero; cuando pierdes, dicen que eres DeFi y no hiciste DYOR. Sí, los protocolos DeFi pueden añadir lock-ups de tiempo, diversos controles de riesgo, retrasos en la auditoría, lucha contra el lavado de dinero e incluso KYC (es cuestión de tiempo). Después de decorar el excremento con flores, te das cuenta de que al final se vuelve cada vez más parecido a las finanzas tradicionales. (Además, pocos inversores institucionales vendrán a una industria que se roba constantemente. Así que olvídate del cuento de las RWA institucionales). Si crees en la narrativa de Web3, mejor cree que el comunismo se materializará. 4. Este evento必然 causará pérdidas a los usuarios. El consenso del sector es que Kelp asume al menos un 40% de la responsabilidad. Aave y LayerZero podrían compensar parcialmente, pero no cubrirán la parte de Kelp. El equipo de Kelp está muy pobre; cuando rsETH se desvinculó, ellos mismos se aprovecharon del arbitraje, bloqueando las retiradas de otros usuarios, es decir, compitiendo con los usuarios por migajas. Según la situación actual, es muy probable que Kelp declare directamente el cierre o la quiebra del protocolo: hay tan poco dinero que si quieres, puedes demandarlos. Por lo tanto, al menos la parte de responsabilidad de Kelp será asumida por los usuarios. Además, he visto a alguien etiquetar a Sun Gan, CZ, etc., pidiéndoles que actúen como caballeros blancos... Seguramente aún no se han despertado. La última vez que Tether prestó dinero a Drift también fue una distracción; cuando salga el plan de compensación dentro de unos días, lo entenderán, ya lo mencioné antes. Resumen: Este evento golpea simultáneamente tres narrativas clave: L2, Restaking y confianza en DeFi, convirtiéndose en un “triple golpe narrativo”. Más adelante, la gente podría llamar a abril de 2026 el “Abril Negro” de Web3 o DeFi (y aún quedan 10 días en abril...). Mi consejo: por ahora, no juegues con DeFi; guarda tu dinero en el exchange y gana intereses.