Por qué una lista de comprobación previa al depósito importa más que elegir el protocolo correcto
La mayoría de las personas que pierden dinero en DeFi no eligen una estafa a propósito. Hacen clic en aprobar en una interfaz de apariencia legítima, depositan en un pool que ha sido auditado y se van pensando que el contrato inteligente hará lo que prometía la portada. A la mañana siguiente, el protocolo está vaciado, el equipo guarda silencio y al usuario solo le queda leer un post-mortem que podría haber leído la semana anterior.
Para eso sirve este artículo. El objetivo no es ayudarte a encontrar la próxima granja de yield con retorno de 10x. El objetivo es frenarte en la pantalla de aprobación, del mismo modo que un piloto revisa una lista previa al vuelo antes de despegar. La mayoría de los accidentes no los provoca una única sorpresa catastrófica. Los provoca una cadena de cosas pequeñas que nadie verificó.
No necesitas ser desarrollador para usar esta lista de comprobación. Solo necesitas estar dispuesto a dedicar quince minutos a leer la documentación, los informes de auditoría y los datos on-chain de un protocolo antes de firmar una transacción. Si un protocolo no te da la información necesaria para completar esta lista, esa ya es la respuesta sobre si deberías depositar.
Los riesgos reales antes de aprobar un token
El riesgo en DeFi no es abstracto. Es una lista de modos de fallo concretos que les han costado dinero real a usuarios reales. Antes de pasar a la lista de comprobación, estas son las categorías de riesgo que realmente estás evaluando.
Errores en los contratos inteligentes
El código es ley en DeFi, que es una forma educada de decir que un error tipográfico en un contrato inteligente puede permitir que un atacante se lleve cada dólar del protocolo. Las auditorías reducen este riesgo, pero no lo eliminan. El hackeo de Cream Finance en 2021, el exploit del puente Wormhole en 2022 y los incidentes relacionados con BingX en 2024 ocurrieron en contratos que habían sido auditados. Las auditorías detectan los errores que el auditor pensó en buscar. No detectan todo.
Manipulación económica y de oráculos
Algunos protocolos no son hackeados en el sentido tradicional. El código funciona exactamente como está escrito, pero el feed de precios en el que se apoya es movido por un trader con suficiente capital, y el protocolo paga basándose en un precio que ya no coincide con la realidad. Mango Markets perdió unos 114 millones de dólares en octubre de 2022 precisamente por un ataque de este tipo, y se ejecutó manipulando el mercado MNGO-PERP dentro de la propia plataforma del protocolo.
Riesgo de claves de administrador y gobernanza
Muchos protocolos DeFi otorgan a un pequeño grupo de firmantes la capacidad de actualizar contratos, cambiar parámetros o pausar retiradas. Si esos firmantes se ven comprometidos, son coaccionados o simplemente actúan de forma legítima pero perjudicial para los depositantes, tus fondos pueden moverse o congelarse. La pregunta relevante no es si un protocolo es descentralizado en espíritu. Es cuántos humanos pueden mover tu dinero y cuánto aviso tendrás antes de que lo hagan.
Aprobaciones e higiene del monedero
Cuando apruebas un token en un sitio como Uniswap, Aave, Morpho o Pendle, estás dando a ese contrato permiso para gastar ese token desde tu monedero para siempre, o hasta que revoques la aprobación. Las aprobaciones antiguas son un objetivo habitual. En 2025, las estafas de envenenamiento de direcciones y vaciado de aprobaciones se convirtieron en la mayor categoría de robos de cripto por volumen, superando incluso las brechas de exchanges. Puedes perder dinero en un protocolo que nunca ha sido hackeado, simplemente porque aprobaste un token hace dos años y nunca lo revocaste.
La checklist de 12 puntos para depósitos en DeFi
Revísalos en orden. Si no puedes responder sí a los tres primeros, no merece la pena seguir con el resto. La idea es detectar lo único que podría acabar contigo, no puntuar al protocolo de forma condescendiente.
1. ¿El contrato está auditado y con qué fecha?
Encuentra el informe de auditoría. AAVE, UNI, MORPHO, PENDLE y ENA tienen todas páginas de auditoría públicas. Lee la fecha, la firma y el alcance. Una auditoría de 2022 sobre código actualizado en 2025 no es lo mismo que una auditoría reciente. Si no hay auditoría, o si la única fue interna, considéralo un punto muerto total.
2. ¿Hay un programa activo de bug bounty y de qué tamaño es?
Un protocolo que ha sido auditado pero no paga a hackers white-hat para que sigan buscando te está diciendo que el equipo no se toma en serio la seguridad continua. Immunefi ha repartido más de 100 millones de dólares en bug bounties desde 2020. Comprueba el tamaño de la recompensa. Una bounty de 1 millón de dólares es muy distinta de una de 100.000. Las recompensas más grandes atraen a mejores investigadores.
3. ¿Quién tiene las claves de administración y cuántas hay?
Mira la documentación o el foro de gobernanza del protocolo. Busca la dirección del multisig que controla las actualizaciones. Cuenta los firmantes. Un multisig 3-de-5 es muy distinto de uno 2-de-5, que a su vez es muy distinto de una única EOA controlada por una persona. AAVE utiliza un multisig 6-de-9 con un timelock de 24 horas. Ese es el tipo de detalle que quieres ver por escrito.
4. ¿Cuánto dura el timelock de las actualizaciones?
Un timelock es un retraso entre el momento en que una acción administrativa se mete en cola y cuando se ejecuta. Un timelock de 24 horas da a la comunidad tiempo para reaccionar y salir si se propone un cambio malicioso. Un timelock de 1 hora, o ningún timelock, significa que te enterarás del cambio después de que tus fondos hayan desaparecido.
5. ¿Qué oráculo usa el protocolo y cómo está protegido?
Chainlink es la respuesta más habitual y, en general, es buena. Pero no todos los protocolos usan Chainlink, y no todos los feeds de Chainlink tienen la misma liquidez. Busca documentación explícita sobre qué feeds lee el protocolo y qué ocurre si un feed se atasca o devuelve un precio desactualizado. El atacante de Mango Markets explotó la falta de comprobaciones de precios desactualizados. Ese detalle estaba en la documentación. Casi nadie lo leyó.
6. ¿La liquidez principal del protocolo es realmente profunda, o solo lo es el TVL?
El total value locked es la cifra de cabecera. Te dice cuánto hay depositado, no cuánto puedes retirar en una crisis. Un mercado de lending con 500 millones de dólares en TVL podría tener solo 20 millones en colateral liquidable real. En la depeg de USDC de marzo de 2023, varios protocolos parecían sanos en el gráfico de TVL y resultaron ser funcionalmente insolventes durante horas. Comprueba la liquidez disponible, no solo los depósitos.
7. ¿Ha habido incidentes previos y cómo se gestionaron?
Todo protocolo importante ha tenido al menos un susto. Lo interesante es qué pasó después. ¿El equipo publicó un post-mortem en menos de 48 horas? ¿Reembolsó a los usuarios? ¿Arreglaron la causa raíz? Los protocolos que han sido hackeados y se han recuperado de forma honesta suelen ser más seguros que los que nunca se han puesto a prueba, porque la prueba de estrés fue real.
8. ¿Los contratos inteligentes son upgradeable y a través de qué mecanismo?
Los contratos upgradeable se pueden mejorar, lo cual es bueno. También se pueden cambiar en silencio, lo cual es malo. Busca el patrón de proxy que se utiliza, quién puede actualizar y si la actualización está limitada por el timelock y el multisig de los puntos 3 y 4. Si un contrato no es upgradeable, eso también es información útil, porque significa que ningún administrador puede cambiarte las reglas.
9. ¿Qué aprobación de token vas a firmar exactamente?
La mayoría de los monederos te muestran el importe de la aprobación. Algunos frontends de DeFi piden aprobación ilimitada por defecto. La aprobación ilimitada es cómoda, pero significa que un futuro fallo en el protocolo, o un clon de la interfaz del protocolo, puede vaciar ese token de tu monedero en cualquier momento. Establece un importe concreto cuando puedas y revoca las aprobaciones que no estés usando de forma activa.
10. ¿Estás en la URL real y la dirección del contrato está verificada?
Los sitios de phishing copian las interfaces píxel a píxel. Revisa la URL carácter por carácter. Abre el protocolo desde un marcador, no desde un resultado de búsqueda ni desde un enlace de Twitter. Verifica la dirección del contrato en la documentación oficial del protocolo antes de aprobar. Los estafadores han pasado años comprando anuncios de Google que parecían Aave y Uniswap.
11. ¿El rendimiento viene realmente de algún sitio?
Un 15 % de APY es una cifra. ¿De dónde sale? ¿Comisiones de lending? ¿Penalizaciones por liquidación? ¿Emisiones de tokens? Si el protocolo te paga con su propio token de gobernanza, te están pagando con algo que el equipo puede imprimir más. El rendimiento en Pendle, por ejemplo, proviene de fuentes de rendimiento concretas claramente desglosadas en la interfaz. Si un protocolo no puede explicar su rendimiento en una frase, trata ese rendimiento como marketing.
12. ¿Has revocado aprobaciones antiguas en los últimos 30 días?
Abre revoke.cash, conecta tu monedero y mira qué sigue aprobado. Todo lo que no estés usando de forma activa es una invitación permanente para que el próximo exploit lo vacíe. Revocar es gratis. No revocar les ha costado a usuarios sumas de ocho cifras. Conviértelo en un hábito mensual.
Lo que la checklist habría detectado en exploits reales
Es fácil leer una lista de riesgos y asumir que son teóricos. No lo son. Esto es lo que una versión cuidadosa de esta checklist habría sacado a la luz en algunos de los mayores incidentes de DeFi de los últimos tres años.
Mango Markets, octubre de 2022
Avraham Eisenberg manipuló el mercado MNGO-PERP en Mango inflando el precio del token MNGO con su propio capital y luego tomando prestado contra ese valor inflado. El protocolo funcionó como estaba diseñado. El oráculo funcionó como estaba diseñado. El diseño económico no contemplaba que un único atacante con capital suficiente pudiera empujar el precio lo bastante lejos como para vaciar el pool de lending. Un usuario que leyera la documentación habría visto que el oráculo de MNGO usaba un mercado on-chain con poca liquidez como fuente. El punto 5 de la checklist, fuente y liquidez del oráculo, lo habría señalado.
Pools de Curve Finance, julio de 2023
Varios pools de Curve fueron vaciados por una vulnerabilidad en el compilador Vyper utilizado para desplegarlos. Los pools afectados habían sido auditados. El fallo estaba en la versión del compilador, no en la lógica del protocolo. Un usuario que comprobara el punto 1 y descubriera que el informe de auditoría hacía referencia a una versión concreta del compilador habría sabido, al menos, qué buscar en divulgaciones posteriores relacionadas con el compilador. La respuesta de Curve, reembolso completo de los pools afectados y un post-mortem público en cuestión de días, es también un dato útil para el punto 7.
Steakhouse Morpho vaults, 2024
Los mercados de lending de Morpho-Blue, incluidas las bóvedas curadas gestionadas por Steakhouse Financial, fueron objeto de un intenso escrutinio en 2024 porque el diseño es genuinamente novedoso. Un usuario que siguiera esta checklist habría encontrado auditorías públicas de Spearbit y Trail of Bits, un bug bounty activo en Immunefi, una ruta de actualización controlada por multisig y documentación detallada del oráculo. Eso es exactamente lo que parece una revisión previa al depósito sana. El hecho de que no se explotara nada no es casualidad.
Cómo usar esta checklist en la práctica
Una checklist solo sirve si la usas de verdad. Este es el flujo de trabajo práctico para un primer depósito en un protocolo como AAVE, MORPHO, PENDLE o ENA.
Empieza abriendo la documentación del protocolo, no la app. Busca la página de auditoría, la página de seguridad y el foro de gobernanza. Confirma los firmantes del multisig y el timelock en un explorador de bloques como Etherscan. Verifica la configuración del oráculo y las direcciones de los contratos con los que vas a interactuar. Luego ve a la app, establece un importe concreto de aprobación de token en lugar de ilimitado, deposita primero una pequeña cantidad de prueba y confirma que puedes retirarla antes de aumentar la cifra.
Pon un recordatorio en el calendario para revisar el protocolo cada mes. Comprueba si hay auditorías nuevas, propuestas de gobernanza nuevas, incidentes nuevos y revoca cualquier aprobación que no estés usando de forma activa. El espacio DeFi se mueve rápido, y un protocolo que era seguro en marzo puede ser arriesgado en abril si se propuso y aprobó un cambio de parámetros sin que te dieras cuenta.
Si en algún momento de este proceso no encuentras la información que necesitas, trátalo como un riesgo en sí mismo. Los protocolos que esconden su modelo de seguridad no son más seguros que los que lo publican. Simplemente son menos verificables, y lo no verificable no es un buen sitio para aparcar tu dinero.
Mantente por delante del riesgo en DeFi con la señal informativa adecuada
El riesgo en DeFi se mueve rápido, y las noticias sobre él también. Seguir manualmente las actualizaciones de auditorías, las propuestas de gobernanza y los cambios de oráculo en AAVE, UNI, MORPHO, PENDLE y ENA es una batalla perdida, porque las señales de alerta están repartidas entre publicaciones en foros, votaciones de gobernanza y divulgaciones de seguridad. Zippfeed muestra titulares de protocolos DeFi con puntuación de sentimiento (alcista, neutral o bajista) y una valoración de importancia, para que detectes un cambio arriesgado antes de tu próximo depósito o reclamación de rendimiento.
