Los exploits de DeFi en 2026 ya han alcanzado los 137 millones de dólares, y solo estamos en marzo. La clasificación es brutal: • @StepFinance_: 27,3 millones de dólares • @Truebitprotocol: 26,2 millones de dólares • @ResolvLabs: 25 millones de dólares (ayer) ​ Es raro en la historia de DeFi ver un depósito de 100.000 dólares convertirse en una casa de moneda estable de 80 millones en segundos. Esto me recuerda a la tesis de @a16zcrypto "Spec is Law" a principios de 2026. Aquí tienes un desglose completo de lo que salió mal y por qué la tesis de a16z nunca ha sido tan relevante 🧵👇

1/ El defecto secreto de la resolución La stablecoin delta-neutral (USR) de @ResolvLabs utilizaba un flujo híbrido de ceca en cadena y fuera de cadena: depósitos/redenciones en cadena @PythNetwork precios verificados fuera de la cadena. Un solo SERVICE_ROLE EOA (no un multisig) finalizó las cecas, creando un punto crítico único de fallo.

2/ Cómo se produjo la extracción de 25 millones de dólares Esto no es un error de contrato. Alrededor de las 2:21 AM UTC del 22 de marzo, un atacante comprometió la clave de SERVICE_ROLE y saltó la verificación. - Normal: El usuario deposita 100.000 dólares USDC → SERVICE_ROLE cheques Oracle → 100.000 dólares estadounidenses acuñados. - Exploit: El atacante deposita 100.000 dólares USDC → oráculo eludido → 80 millones de USR acuñados en dos llamadas. - No había límites en cadena, controles de relación ni límites de suministro que lo detuvieran. El atacante envolvió y arrojó el USR sin respaldo sobre @CurveFinance y @Uniswap, dejando el USR tan bajo como 0,025 dólares. Cambiaron los ingresos a ~11.400+ ETH (~$23–$25M). El desbordamiento de DeFi afectó protocolos que usaban USR/wstUSR como garantía (Morpho, Fluid, Aave), lo que desencadenó deudas incobrables, liquidaciones y congelaciones de mercado para contener el contagio.