El DeFi reajusta el riesgo de crédito en 48 horas tras el exploit de Kelp DAO

Hasta el viernes 17 de abril, prestar stablecoins en Aave —considerado por muchos el referente del DeFi— pagaba un 2,32% TAE. En paralelo, el tipo overnight de la Reserva Federal se situaba en el 3,64%. Sobre el papel, el mercado estaba asignando a un contrato inteligente no regulado y de código abierto un riesgo de crédito inferior al del Tesoro de EE. UU. En 48 horas, esa anomalía desapareció. El reajuste llegó donde no habían llegado reguladores, auditores ni comentaristas: el mercado volvió a poner precio al riesgo de crédito en DeFi en tiempo real. Antes del fin de semana, la jerarquía de rentabilidades en activos vinculados al dólar era difícil de sostener: Tesoro a un día, 3,64%; tramo sénior de ABS respaldado por bitcoin de Ledn, con calificación BBB y fijado en febrero, 6,84%; preferentes perpetuas STRC de Strategy, 11,50%; tarjetas de crédito en EE. UU., 21% con una tasa de impago del 4%; y Aave, por debajo de todo, 2,32%. Algo tenía que ajustarse. Luca Prosperi defendió a comienzos de año que las tasas de las stablecoins en DeFi deberían incorporar una prima de 250–400 puntos básicos sobre el tipo libre de riesgo, lo que implicaría un 6,15–7,76%. En sentido contrario, un informe del Banco de Canadá del 2 de abril citó la tasa de préstamos morosos del 0,00% en Aave como prueba de que la arquitectura DeFi permitiría préstamos sin impago mediante sobrecolateralización estricta y ejecución basada en precios. El dilema era simple: o DeFi había resuelto el riesgo de crédito, o el mercado había dejado de valorarlo. El fin de semana pasado dejó claro cuál de las dos lecturas era la correcta. El 18 de abril, un atacante explotó el puente cross-chain de Kelp DAO impulsado por LayerZero para acuñar aproximadamente 116.500 tokens rsETH sin respaldo —en torno al 18% del suministro en circulación, valorados en unos 292 millones de dólares—. Esos tokens sintéticos se depositaron en Aave como colateral. Con esa garantía, el atacante habría pedido prestados entre 190 y 230 millones de dólares en activos reales contra un colateral que, cuando importó, no existía. El informe del incidente de Aave reconoció que el protocolo funcionó según lo previsto; el agujero es estructural, no técnico. Desde entonces, Kelp y LayerZero se han responsabilizado mutuamente de la configuración de validación 1/1 que hizo trivial el exploit. La propagación fue inmediata. Por diseño, los protocolos DeFi son interoperables, y el "looping" —pedir prestado en una plataforma y redepositar lo obtenido como colateral en otra— hace que un golpe a Aave afecte a todo lo construido sobre Aave. Cerca del 20% del volumen histórico de préstamos en Aave ha provenido de apalancamiento recursivo. En 48 horas, Aave registró salidas netas estimadas de 6.000 a 10.000 millones de dólares. La utilización de los pools de WETH, USDT y USDC alcanzó el 100%. Los depositantes no podían retirar. Los prestatarios no podían conseguir liquidez en stablecoins. Usuarios atrapados llegaron a endeudarse por otros 300 millones de dólares contra sus propios depósitos de stablecoins bloqueados, a un LTV del 75%, a menudo asumiendo pérdidas, solo para acceder a efectivo. Las tasas reaccionaron con fuerza. Las TAE de depósito en stablecoins de Aave pasaron de un 3–6% antes del exploit a un 13,4% en dos días. El vault de USDC de Morpho —que da soporte al producto de préstamos para clientes minoristas de Coinbase— saltó del 4,4% TAE el 18 de abril al 10,81% al día siguiente, a medida que la escasez de liquidez se extendía. El TVL total de DeFi en las 20 principales cadenas cayó en más de 13.000 millones de dólares. La parte menos visible —y la que los asignadores de capital deben entender— es jurídica y de prioridad de cobro. Dentro de un protocolo DeFi no existe un régimen de quiebra. Quien retira primero conserva todo. Quien llega al final puede no hacerlo y cargar con una porción desproporcionada de las pérdidas. En el crédito regulado, los prestamistas tienen la obligación legal de detener operaciones en cuanto advierten que no pueden cubrir pasivos, y los tribunales pueden reclamar devoluciones a quienes se beneficiaron de forma injusta. Los cierres de Celsius, BlockFi y FTX fueron duros, pero los acreedores recuperaron activos y los responsables respondieron ante un juez. En DeFi no hay procedimiento. No hay tribunal. No hay recuperación. No hay un responsable al que exigir cuentas. Esto impacta directamente en el dimensionamiento del riesgo: si puede estimarse la pérdida total pero no cómo se reparte, no puede estimarse la exposición propia. Puede ser cero. Puede ser todo. Depende de la rapidez con la que uno se movió y de la rapidez con la que se movieron los demás. DeFi no va a desaparecer. La arquitectura aporta utilidad real y los mercados sin permiso han existido siempre, en todas las clases de activos y épocas. Pero nunca han sido libres de riesgo y siempre han exigido una prima frente a sus equivalentes regulados. Las 48 horas posteriores al incidente del 17 de abril recordaron al mercado que esa regla también aplica en cadena. Los asignadores institucionales que estén calibrando su exposición a DeFi para el próximo año harían bien en tomar nota: el 2,32% de Aave antes del fin de semana no reflejaba el riesgo subyacente y el mercado ya lo ha corregido. El nivel al que se estabilicen las tasas DeFi a partir de aquí lo decidirá el mercado. Lo que ha terminado es el desajuste de valoración. El fin de semana pasado lo demostró.