El ecosistema de las finanzas descentralizadas (DeFi) continúa creciendo de manera acelerada, pero con este crecimiento vienen riesgos significativos, especialmente en seguridad. Recientemente, Loopscale, un protocolo DeFi construido sobre la blockchain de Solana, fue víctima de un exploit que resultó en la pérdida de 5.8 millones de dólares, apenas dos semanas después de su lanzamiento oficial. Este incidente no solo ha generado inquietudes entre los usuarios y la comunidad cripto, sino que también plantea preguntas importantes sobre las medidas de seguridad y la confianza en nuevos proyectos que emergen en el sector. Loopscale se dio a conocer con una propuesta innovadora dentro del universo DeFi.
A diferencia de los protocolos de préstamos basados en pools tradicionales como Aave o Solend, Loopscale planteó operar con un modelo basado en libros de órdenes para la concesión de préstamos. Esto permite a los usuarios contar con términos más predecibles, eliminando la volatilidad en las tasas de interés, un problema frecuente en los sistemas de tasa variable. Esta propuesta, supuestamente más segura y eficiente, llamó la atención de fondos destacados como Solana Labs y Coinbase Ventures, que en 2021 lideraron una ronda de financiación que recaudó 4.25 millones de dólares para apoyar el desarrollo de la plataforma. Sin embargo, apenas dos semanas después del lanzamiento oficial de Loopscale el 10 de abril de 2025, el protocolo sufrió un severo ataque que comprometió una de sus funcionalidades relacionadas con la valoración de colaterales basados en RateX.
El exploit permitió a un atacante desconocido obtener acceso y aprovechar una vulnerabilidad específica, resultando en la pérdida del 12% del valor total bloqueado (TVL) en la plataforma, equivalente a 5.8 millones de dólares. Este incidente pone de relieve nuevamente las dificultades que enfrentan los proyectos DeFi más recientes para garantizar la seguridad y protección de los fondos de los usuarios. Desde el momento en que se detectó el ataque, el equipo de Loopscale actuó rápidamente para restringir ciertas funciones del protocolo a fin de minimizar daños adicionales, aunque posteriormente habilitó funciones como el repago de préstamos y el cierre de posiciones para facilitar la gestión de los usuarios afectados. La compañía también colaboró activamente con las fuerzas de seguridad e inició una investigación exhaustiva para identificar al autor del exploit y evaluar las posibles vías para recuperar los fondos sustraídos.
Uno de los aspectos que ha generado controversia es que Loopscale había pasado por una auditoría de seguridad realizada por OShield entre enero y febrero del presente año. Durante esta auditoría se detectaron varias vulnerabilidades críticas, las cuales, según el propio equipo de Loopscale, fueron corregidas antes del lanzamiento. Además, se encuentran en curso auditorías adicionales, como la realizada por Sec3, para reforzar su postura de seguridad. A pesar de estas medidas, el exploit ocurrido evidencia que aún existen riesgos no previstos, subrayando la complejidad de garantizar un entorno seguro en aplicaciones descentralizadas con estructuras innovadoras. El ataque a Loopscale se suma a una serie creciente de incidentes que han marcado el 2025 como un año complicado para la seguridad en el sector cripto y DeFi.
A principios de año, Bybit sufrió un hackeo récord que implicó la pérdida de 1.46 mil millones de dólares; otros casos recientes incluyen un exploit de 7 millones de dólares en el oráculo KiloEX y la pérdida de 49 millones de dólares relacionada con la stablecoin neoback Infini. Estos sucesos generan una sensación de incertidumbre en el mercado y refuerzan la importancia de mejorar las prácticas de seguridad, tanto por parte de desarrolladores como de usuarios. La naturaleza innovadora de Loopscale, basada en un libro de órdenes para préstamos descentralizados, intenta solucionar problemas comunes de volatilidad en protocolos tradicionales, pero el incidente demuestra que la innovación también puede introducir nuevas vulnerabilidades. La dificultad para anticipar y cubrir todos los posibles vectores de ataque en sistemas tan complejos hace que la auditoría y la revisión constantes sean imprescindibles, al igual que la transparencia con la comunidad.
Otro tema crucial está relacionado con la respuesta del equipo y la comunicación con los usuarios. La cofundadora de Loopscale, Mary Gooneratne, aseguró que el equipo está “totalmente movilizado para investigar, recuperar fondos y proteger a los usuarios.” Esta reacción rápida y la apertura en sus canales oficiales, como la plataforma X (anteriormente Twitter), son aspectos positivos que pueden ayudar a preservar la confianza de los inversores y usuarios a largo plazo. Sin embargo, la incertidumbre inherente de este tipo de situaciones suele afectar la reputación y la adopción inicial de proyectos emergentes en DeFi. El caso de Loopscale también plantea interrogantes sobre el equilibrio entre innovación y seguridad.
Las aplicaciones DeFi deben proporcionar funcionalidades novedosas y eficientes para atraer usuarios, pero también requieren implementaciones robustas que mitiguen riesgos cibernéticos. Las auditorías, aunque necesarias, no siempre son suficientes, especialmente cuando los ataques pueden aprovechar defectos lógicos en el diseño de mercados o mecanismos poco convencionales, como la fijación de precios en activos colaterales. Para el ecosistema global de Solana, esta noticia no solo representa un golpe localizado, sino un desafío más amplio en un momento en que la red busca consolidarse como un referente en DeFi y Web3. Solana ha demostrado grandes capacidades técnicas con su alta velocidad y bajos costos de operaciones, pero la seguridad y confianza en los proyectos desplegados en su blockchain son factores que también deben reforzarse conjuntamente para asegurar un crecimiento sustentable. Por último, es fundamental que los inversores y participantes en el espacio DeFi mantengan una postura cautelosa y bien informada, dada la posibilidad de pérdidas importantes derivadas de exploits o malas prácticas.
