«No te metas, te devorará» - ForkLog: criptomonedas, IA, singularidad, futuro

# «No te metas, te va a devorar»

Una historia personal, pero representativa, de una de las muchas derrotas en DeFi

Un lector habitual de ForkLog y un experimentado participante del mercado cripto — sobre cómo perdió fondos y, al mismo tiempo, la esperanza de recuperarlos.

A menudo repetimos como una especie de mantra: «Incluso los inversores en criptomonedas más experimentados no están exentos de cometer errores». Lo cual, por supuesto, es completamente cierto. Sin embargo, ¿es normal que la industria aspire a una adopción masiva como alternativa a las finanzas tradicionales?

La respuesta negativa a esta pregunta la da un lector habitual y autor de ForkLog, que hoy prefirió mantener el anonimato.

«Lo siento, no podemos ayudar»

Me robaron una cantidad significativa en stablecoins de mis wallets tras un hackeo a Aperture Finance. A través de ese recurso, añadía liquidez en PancakeSwap, lo que requería aprobar un gasto ilimitado de USDT. El hacker logró encontrar una vulnerabilidad en los contratos y, mediante permisos, pudo retirar todos los tokens de las wallets de los usuarios. Aquí y aquí hay análisis técnico del incidente.

Al intentar buscar ayuda para recuperar los fondos, al menos de alguien, comprendí que la industria aún no es capaz de luchar contra los hackers. Después de tanto tiempo desde la creación de Bitcoin, Ethereum, 20,000 soluciones L2, 30,000 plataformas para contratos inteligentes, los desarrolladores no han aprendido lo principal: proteger a sus usuarios.

Justo después del robo, contacté a Tether para pedir ayuda, ya que ellos son el emisor de USDT. Todos los días vemos noticias sobre bloqueos de tokens relacionados con robos, hackeos y actividades ilícitas, pero, al parecer, estos no afectan incidentes como el mío. Recibí esta respuesta:

«Lo siento, no podemos ayudar. No emitimos USDT en BNB Chain».

Ok, sé quién los emite. Contacté con un exchange. Seguramente tienen software para rastrear transacciones, pensé. Seguramente usan todas las herramientas existentes en el mundo. Se puede crear un clúster de direcciones relacionadas, rastrear a dónde fueron los tokens robados, encontrar una salida en una plataforma centralizada con KYC. Pero el hacker tendrá que algún día convertir los fondos en dinero en efectivo, ¿no? Luego, enviar una solicitud para congelar la cuenta en la plataforma. Hay pruebas de la robo.

«Lo siento, no podemos ayudar. Según nuestros datos, los tokens no llegaron a nosotros», fue la respuesta.

Por supuesto que no llegaron. Todavía están en la wallet del hacker. No pedí que bloquearan USDT en esa dirección, la respuesta sería evidente.

«La mejor opción es acudir a las autoridades. Ellas tienen los recursos y la autoridad legal para investigar casos complejos y encontrar a los responsables. Proporcióneles el enlace a la página de solicitud para las autoridades», escribieron los representantes del exchange, enviando la URL del formulario oficial.

Me dirigí a las autoridades, ya que había oído hablar de la existencia de la policía cibernética, entrenada por las principales empresas de seguridad en blockchain para rastrear transacciones. Allí, primero anotaban las direcciones del hacker en un papel (los hashes de las transacciones, por alguna razón, ya no los registraban). Luego, había que explicar tres veces a diferentes personas qué había pasado. Finalmente, dijeron:

«Ustedes entienden mejor estos temas. Vayan adelante, y nosotros estamos listos para ayudar si hace falta. Podemos poner algún sello».

Los desarrolladores de Aperture Finance guardaron silencio durante dos semanas. Dijeron que los hackearon, y después, silencio. Supongo que no tienen fondos para compensar a los afectados.

Como resultado, tras el hackeo de Aperture Finance (si fue un hackeo, y no un backdoor dejado por el equipo y un posterior robo), y tras dos semanas de ignorancia, todo indica que el proyecto dejó de desarrollarse y existir, se robaron varios millones a diferentes personas, y el hacker está satisfecho y se fue sin ser molestado.

Todos ven las direcciones donde están los tokens, y nadie puede hacer nada. No hay un organismo que ayude, y a nadie le interesa.

Tus claves no son tus monedas

Nosotros, los usuarios de cripto, declaramos como la mayor ventaja de la industria la posesión total de nuestros fondos. Pero esa misma es la principal lacra de los activos digitales. ¿Cómo pretende la industria lograr una adopción masiva si cualquiera puede encontrar una vulnerabilidad en unas pocas líneas de código, robar fondos directamente de las wallets y no pasa nada?

Eso incluso es peor que los estafadores telefónicos. Allí, a las víctimas se les exige realizar acciones — vender una propiedad, enviar fondos, proporcionar el CVV. En cripto, los tokens se van mientras duermes, por permisos de contratos antiguos, porque en contratos viejos se encontró una nueva vulnerabilidad.

Sí, entiendo que cada uno es responsable de la seguridad de sus fondos. Todos conocemos las reglas que debemos seguir:

1. Revisar regularmente los permisos.
2. Cambiar de wallet.
3. No usar servicios no verificados.
4. No hacer clic en enlaces de Google.
5. No copiar direcciones del historial de transacciones.
6. No caer en estafas del estilo «Elon Musk regala 1 BTC, solo envía 0,1 BTC a esta wallet».

Y así, y así, y así. ¿No son demasiadas? La industria promete finanzas descentralizadas en las que «tú mismo eres dueño de tus activos». Pero, ¿ofrece la protección adecuada?

¿Por qué no crear herramientas para recuperar fondos tras un robo? ¿Para prevenirlo? Enviar una denuncia a los nodos por fraude —> presentar pruebas —> votar por el bloqueo —> y, por decisión de un tribunal descentralizado, devolver el dinero.

Solo en enero de 2026, los hackers hackearon 16 proyectos y robaron 86,01 millones de dólares.

Fuente: PeckShieldAlert. ¿A quién le interesarán las criptomonedas si hay tantas incógnitas aquí? Intenta ofrecerle a tu amigo poner USDT en Aave en lugar de dólares en un banco y describe todos los riesgos:

• USDT puede ser congelado (pero no cuando te lo roban);
• Aave puede ser hackeado y todo puede ser robado;
• puedes hacer clic en la URL equivocada y perder todo;
• USDT puede ser un token degradado.

Ataques de tipo sandwich, tokens fraudulentos, manipulación de volúmenes para crear la ilusión de atractivo del token. Todo esto son nuestras realidades, con las que vivimos y hacemos como si todo estuviera bien.

Y también existen USDT falsificados. Puedes vender, por ejemplo, un canal de Telegram, y te enviarán tokens falsos en lugar de reales, estafas. Es importante saber cómo verificarlos por la dirección del contrato.

¿Quién querrá usar activos digitales después de saber todo esto?

Cuando mis amigos me piden que les enseñe a ganar dinero con yield farming (porque ven a alguien que solo presionó tres botones en su portátil y ganó dinero mientras juega FIFA), siempre quiero dar un solo consejo: no te metas, te va a devorar.

Toda la industria DeFi, como hace cinco o seis años, sigue siendo compleja, incómoda, insegura y poco atractiva para el mercado masivo. Un criptoentusiasta experimentado puede encontrar ineficiencias y oportunidades de ganancia, pero para la gran mayoría, no es «el banco en cada bolsillo».

La opción más segura, y la que sigue siendo la única recomendada, es comprar Bitcoin, guardarlo en una wallet hardware y no tocarlo. Cuando empiezas a pensar que «simplemente están ahí, sin hacer nada, hay que ponerlos en garantía o transferirlos para ganar», se activa una bomba de tiempo. Tarde o temprano, llegará el error.