Checklist de riesgos DeFi antes de depositar: smart contracts, oráculos y llaves admin

Si una oportunidad en DeFi paga más que una alternativa simple, casi siempre es porque asumes un riesgo adicional; a veces ese riesgo es obvio, a veces está escondido en detalles técnicos. Este checklist sirve para separar "no entiendo esto" de "entiendo el riesgo y lo acepto".

Si tu estrategia incluye deuda o apalancamiento, añade una capa: precio de liquidación en DeFi.

Puntos clave

• El riesgo más caro suele ser el que no sabías que estabas tomando.
• Audits ayudan, pero no son un seguro; busca señales de proceso y de límites.
• Upgrades y llaves admin pueden cambiar reglas cuando ya estás adentro.
• Oráculos y depegs son puntos de falla comunes en eventos extremos.

Checklist rápido (10 minutos)

Antes de depositar, responde:

• ¿Qué estás depositando y qué recibes a cambio (token, receipt, LP)?
• ¿De dónde sale el rendimiento: fees, incentivos, o apalancamiento?
• ¿Puedes salir hoy? ¿con qué costo (slippage, cooldown, penalidad)?
• ¿El contrato es upgradable? ¿quién controla la llave admin?
• ¿Hay audits públicos? ¿bug bounty? ¿incidentes pasados y cómo respondieron?
• ¿Qué oráculo usa el protocolo (si aplica) y qué pasa si falla?
• ¿Qué pasa si el precio se mueve 30% en un día?
• ¿Qué pasa si la stablecoin pierde paridad?

Glosario útil: audit, bug bounty, oráculo, slippage, depeg.

Riesgo 1: smart contract (fallas, exploits, integraciones)

Qué mirar:

• Código público: si no hay código verificable o no hay repositorio, asume riesgo alto.
• Auditorías: busca el PDF, lee el resumen y el estado de hallazgos críticos. Un audit viejo con contratos cambiados aporta menos.
• Bounties: un programa de recompensas no garantiza nada, pero señala madurez.
• Composición: muchos exploits ocurren en integraciones (puentes, wrappers, dependencias), no en el "core".

Pregunta práctica:

Si esto se rompe, ¿pierdes todo el depósito o solo parte?

Riesgo 2: llaves admin, upgrades y cambios de reglas

Muchos protocolos tienen mecanismos de upgrade o controles:

• pausar depósitos,
• cambiar fees,
• cambiar parámetros de riesgo,
• actualizar contratos.

Eso puede ser positivo (parchear rápido) o peligroso (cambiar reglas sin tiempo de reacción). Lo que quieres ver:

• multisig en lugar de una sola llave,
• timelock para cambios (tiempo para salir),
• transparencia sobre quiénes son los firmantes (si es público) y qué controla.

Glosario: multisig, timelock, upgradeable.

Riesgo 3: oráculos (precios incorrectos, manipulación, latencia)

Si el protocolo depende de precios (préstamos, liquidaciones, derivados), el oráculo es parte del sistema de seguridad. Un oráculo malo puede:

• liquidarte injustamente,
• permitir que alguien se lleve el colateral barato,
• romper la contabilidad del protocolo.

Qué mirar:

• Fuente del precio: ¿es un feed descentralizado? ¿usa TWAP? ¿depende de un DEX con baja liquidez?
• Actualización: ¿qué pasa si el precio cambia rápido y el feed se retrasa?
• Fallbacks: ¿hay mecanismos de respaldo?

Fuentes generales para entender feeds: Chainlink Data Feeds. No es el único enfoque, pero es un punto de partida útil.

Riesgo 4: liquidez y salida (slippage, caps, colas)

En DeFi, "puedo salir" no siempre significa "puedo salir al precio que espero".

Qué mirar:

• profundidad: si hay poco volumen, el slippage al salir puede ser grande.
• caps: límites de retiro o de depósito que se activan en stress.
• cooldowns: demoras por diseño (staking, ciertos vaults).
• liquidez del receipt token: si recibes un token representativo, ¿tiene mercado?

Si estás en pools 50/50, además tienes IL. Revisa: impermanent loss.

Riesgo 5: depeg y riesgo de stablecoins

Si tu estrategia usa stablecoins, no asumas que "1 = 1" por decreto.

Qué mirar:

• ¿cómo mantiene paridad esa stablecoin (respaldo, sobre-colateral, mecanismos)?
• ¿qué pasó en crisis anteriores (si existen datos)?
• ¿hay riesgo de freeze/blacklist (según emisor y cadena)?

Guía completa: stablecoins: tipos y riesgos de depeg.

Riesgo 6: incentivos y "APY que se evapora"

Muchos APYs altos son incentivos. Señales típicas:

• el APY depende de un token emitido,
• el programa tiene fecha de fin,
• el APY baja rápido cuando entra más TVL.

La pregunta es:

¿Tu estrategia sigue teniendo sentido si el incentivo cae 70% mañana?

Para ordenar tasas y no mezclar APR con APY: calculadora APY/APR.

Riesgo 7: gobernanza (cambios de parámetros cuando ya estás adentro)

Un protocolo puede cambiar:

• umbrales de liquidación,
• caps de activos,
• fees,
• modelos de tasa.

Eso puede mejorar el sistema, pero también puede afectar tu posición. Si participas o delegas, aprende a leer cambios con un marco: cómo leer una propuesta de governance.

Riesgo 8: riesgo operativo (wallet, permisos, phishing)

Muchos usuarios pierden fondos por errores operativos, no por fórmulas.

Checklist operativo:

• usa una wallet segura; separa fondos principales de fondos de prueba,
• revisa permisos de tokens (approval infinito es un riesgo),
• desconfía de links por DM, "soporte", y airdrops no solicitados,
• firma solo lo que entiendes (mensajes, transacciones, permisos).

Guía práctica: seguridad básica en crypto.

Cómo empezar sin quemarte (enfoque práctico)

• Empieza con un monto que puedas perder sin destruir tu plan financiero.
• Prueba el flujo de entrada y salida con un monto pequeño.
• Anota: qué depositaste, dónde, por qué, qué te haría salir, y cómo monitorear.
• Si hay deuda, define un buffer y monitoreo. Usa: calculadora de liquidación.

Señales verdes y rojas (atajo mental)

Señales verdes:

• documentación clara y parámetros visibles,
• timelock para cambios sensibles y control por multisig,
• auditorías recientes y respuesta pública a incidentes,
• límites (caps) y pausas bien definidas.

Señales rojas:

• APY alto sin explicación concreta,
• upgrades sin timelock o controlados por una sola llave,
• token incentivo ilíquido o con emisiones agresivas,
• presión por urgencia ("entra ya") o lenguaje de certeza.

Preguntas frecuentes

¿Un audit significa que es seguro?

No. Un audit reduce riesgo, pero no lo elimina. Lo que importa es el conjunto: audits, respuesta a incidentes, controles de upgrade, límites, y transparencia.

¿Qué señal simple indica riesgo alto?

Si el rendimiento es alto y no puedes explicar de dónde sale, asume riesgo alto hasta que puedas. Otra señal: control centralizado sin timelock.

¿Cómo evalúo un protocolo sin ser técnico?

Usa señales prácticas: documentación clara, historial público, incidentes y respuesta, claridad en llaves admin, y límites. Y empieza pequeño.

¿Qué hago si una stablecoin se desvía de 1?

Depende del tipo de stablecoin y del contexto. No asumas que siempre vuelve. Ten un plan antes de estar en pánico.

¿Dónde aprendo los conceptos base sin perderme?

Empieza por las guías ancla: APR a APY, impermanent loss, y precio de liquidación.

Siguiente paso

Usa este checklist antes de cualquier depósito nuevo. Si tu estrategia usa deuda, calcula tu margen: calculadora de precio de liquidación. Si tu estrategia usa pools, cuantifica IL: simulador de impermanent loss.