Robó un millón y provocó pérdidas de miles de millones: ¿cuánto cuesta realmente el código vulnerable de las plataformas cripto?
Nuevo estudio revela que los hackeos a protocolos DeFi arruinan a las DAO, no solo por millones robados sino por desplomes de capitalización de miles de millones.
Los ciberataques a proyectos de finanzas descentralizadas afectan a las DAO mucho más de lo que se aprecia por los fondos robados. Un nuevo estudio mostró: la mayor parte del daño no son las pérdidas directas, sino el desplome del valor de los tokens de gobernanza. En 22 incidentes en DeFi (2020–2022) las pérdidas directas sumaron alrededor de $613 millones, mientras que la caída de la capitalización de las DAO añadió aproximadamente $1,3 mil millones. En total son alrededor de $1,8 mil millones, y el 74,4 % de ello es precisamente daño de mercado indirecto.
El trabajo se centra en las organizaciones autónomas descentralizadas (DAO) que gestionan protocolos DeFi mediante tokens de gobernanza. Estos tokens funcionan como acciones con derecho a voto: los titulares aprueban actualizaciones de código, parámetros del protocolo y otras decisiones. Los autores vincularon una base de 1.141 ciberincidentes en DeFi con DAO reales y seleccionaron 22 ataques a 14 organizaciones que disponen de tokens de gobernanza líquidos y de un historial de negociación lo bastante largo.
Para evaluar la reacción del mercado, los investigadores levantaron un nodo completo archivado de Ethereum y recopilaron datos on-chain de negociación en Uniswap V2 —una de las DEX clave de ese periodo. Analizaron pares de tokens de gobernanza con Ether envuelto (wETH), reconstruyeron precios y volúmenes a partir de los registros swap y sync, limpiaron picos anómalos (préstamos flash, arbitraje) y agregaron operaciones en intervalos de seis horas. En la muestra entraron 83 tokens de gobernanza; entre los atacados están Compound, Curve, Cream, DAO Maker, Badger, Uniswap y otros. Los tipos de ataques variaron: vulnerabilidades en contratos inteligentes, préstamos flash, manipulaciones de oráculos, ataques DNS, phishing, compromiso de claves API y del frontend.
El enfoque clásico de estudio de eventos para acciones se apoya en índices de mercado, pero para DeFi no existen benchmarks tan fiables. Por ello los autores construyeron su propio grupo de control: para cada token atacado se seleccionaron tokens de gobernanza contrafácticos con dinámica de precio y volumen similar durante los 100 días previos al incidente. La similitud se evaluó mediante la correlación de las series temporales; después aplicaron un modelo dinámico de diferencias en diferencias, comparando el comportamiento del token atacado y sus «gemelos» en una ventana desde un día antes del anuncio del ataque hasta dos días después (con pasos de 6 horas). Así trataron de separar el efecto del incidente concreto del movimiento general del mercado y obtener una estimación cuasicausal.
El resultado sobre precios fue contundente. En 15 de los 22 casos los tokens de gobernanza registraron pérdidas tras el anuncio del ataque, y en 12 eventos la caída fue estadísticamente significativa. La reducción media fue de alrededor de -13,5 %, en episodios aislados llegó hasta -59,3 % (la caída mínima significativa fue del orden de -1,5 %). En comparación, metaanálisis sobre empresas tradicionales tras filtraciones y hackeos suelen mostrar reacciones del mercado del -1 a -3,5 % en una ventana corta alrededor del evento. Es decir, las DAO como clase de activos son por ahora claramente más sensibles a incidentes de seguridad.
La actividad de negociación, por el contrario, suele aumentar. En el 68 % de los casos (15 de 22 incidentes) los investigadores registraron un incremento significativo del volumen de negociación de los tokens de gobernanza, en promedio superior al 120 %, y en episodios aislados crecimientos de cientos por ciento. En siete ataques la caída de precio y el pico de volúmenes coincidieron en el tiempo: el mercado estaba digiriendo las malas noticias, unos salían del activo y otros intentaban «comprar la caída». El modelo trabajó con volumen agregado, sin distinguir entre compras y ventas, por lo que solo capta el nivel general de turbulencia.
La capa clave del análisis es la capitalización de las DAO. Los investigadores estimaron el valor de mercado de los proyectos antes del ataque (por el precio del token el día anterior al anuncio) y después, usando los cambios de precio significativos medios del modelo. La diferencia proporcionó una estimación del daño económico indirecto, que recae sobre los tenedores de tokens de gobernanza más que sobre el propio protocolo. En 12 eventos con un efecto de precio persistente la caída agregada de capitalización fue de alrededor de $1,3 mil millones. Por DAO, esto equivale en promedio a más de $110 millones de pérdidas indirectas por organización, además de las sumas que los atacantes sustrajeron de pools y contratos.
El trabajo está limitado al periodo del auge de DeFi 2020–2022 y se apoya en datos de DEX (Uniswap V2 en Ethereum), sin abordar los exchanges centralizados con volúmenes más altos —esa es una dirección evidente para futuras investigaciones. No obstante, las conclusiones ya son claras: en DeFi un ciberataque casi siempre significa no solo un daño directo al protocolo, sino un golpe mucho mayor al valor de los tokens de gobernanza y a la confianza en las DAO. Para los inversores es un argumento para vigilar de cerca los procesos de seguridad y gobierno, y para los equipos y reguladores es una señal de que las inversiones en la protección de contratos inteligentes y en la infraestructura se recuperan no solo por los robos evitados, sino por la reducción del riesgo de una reacción de mercado dañina.