Si una oportunidad en DeFi paga más que una alternativa simple, casi siempre es porque asumes un riesgo adicional; a veces ese riesgo es obvio, a veces está escondido en detalles técnicos. Este checklist sirve para separar "no entiendo esto" de "entiendo el riesgo y lo acepto".
Si tu estrategia incluye deuda o apalancamiento, añade una capa: precio de liquidación en DeFi.
Puntos clave
- El riesgo más caro suele ser el que no sabías que estabas tomando.
- Audits ayudan, pero no son un seguro; busca señales de proceso y de límites.
- Upgrades y llaves admin pueden cambiar reglas cuando ya estás adentro.
- Oráculos y depegs son puntos de falla comunes en eventos extremos.
Checklist rápido (10 minutos)
Antes de depositar, responde:
- ¿Qué estás depositando y qué recibes a cambio (token, receipt, LP)?
- ¿De dónde sale el rendimiento: fees, incentivos, o apalancamiento?
- ¿Puedes salir hoy? ¿con qué costo (slippage, cooldown, penalidad)?
- ¿El contrato es upgradable? ¿quién controla la llave admin?
- ¿Hay audits públicos? ¿bug bounty? ¿incidentes pasados y cómo respondieron?
- ¿Qué oráculo usa el protocolo (si aplica) y qué pasa si falla?
- ¿Qué pasa si el precio se mueve 30% en un día?
- ¿Qué pasa si la stablecoin pierde paridad?
Glosario útil: audit, bug bounty, oráculo, slippage, depeg.
Riesgo 1: smart contract (fallas, exploits, integraciones)
Qué mirar:
- Código público: si no hay código verificable o no hay repositorio, asume riesgo alto.
- Auditorías: busca el PDF, lee el resumen y el estado de hallazgos críticos. Un audit viejo con contratos cambiados aporta menos.
- Bounties: un programa de recompensas no garantiza nada, pero señala madurez.
- Composición: muchos exploits ocurren en integraciones (puentes, wrappers, dependencias), no en el "core".
Pregunta práctica:
Si esto se rompe, ¿pierdes todo el depósito o solo parte?
Riesgo 2: llaves admin, upgrades y cambios de reglas
Muchos protocolos tienen mecanismos de upgrade o controles:
- pausar depósitos,
- cambiar fees,
- cambiar parámetros de riesgo,
- actualizar contratos.
Eso puede ser positivo (parchear rápido) o peligroso (cambiar reglas sin tiempo de reacción). Lo que quieres ver:
- multisig en lugar de una sola llave,
- timelock para cambios (tiempo para salir),
- transparencia sobre quiénes son los firmantes (si es público) y qué controla.
Glosario: multisig, timelock, upgradeable.
Riesgo 3: oráculos (precios incorrectos, manipulación, latencia)
Si el protocolo depende de precios (préstamos, liquidaciones, derivados), el oráculo es parte del sistema de seguridad. Un oráculo malo puede:
- liquidarte injustamente,
- permitir que alguien se lleve el colateral barato,
- romper la contabilidad del protocolo.
Qué mirar:
- Fuente del precio: ¿es un feed descentralizado? ¿usa TWAP? ¿depende de un DEX con baja liquidez?
- Actualización: ¿qué pasa si el precio cambia rápido y el feed se retrasa?
- Fallbacks: ¿hay mecanismos de respaldo?
Fuentes generales para entender feeds: Chainlink Data Feeds. No es el único enfoque, pero es un punto de partida útil.
Riesgo 4: liquidez y salida (slippage, caps, colas)
En DeFi, "puedo salir" no siempre significa "puedo salir al precio que espero".
Qué mirar:
- profundidad: si hay poco volumen, el slippage al salir puede ser grande.
- caps: límites de retiro o de depósito que se activan en stress.
- cooldowns: demoras por diseño (staking, ciertos vaults).
- liquidez del receipt token: si recibes un token representativo, ¿tiene mercado?
Si estás en pools 50/50, además tienes IL. Revisa: impermanent loss.
Riesgo 5: depeg y riesgo de stablecoins
Si tu estrategia usa stablecoins, no asumas que "1 = 1" por decreto.
Qué mirar:
- ¿cómo mantiene paridad esa stablecoin (respaldo, sobre-colateral, mecanismos)?
- ¿qué pasó en crisis anteriores (si existen datos)?
- ¿hay riesgo de freeze/blacklist (según emisor y cadena)?
Guía completa: stablecoins: tipos y riesgos de depeg.
Riesgo 6: incentivos y "APY que se evapora"
Muchos APYs altos son incentivos. Señales típicas:
- el APY depende de un token emitido,
- el programa tiene fecha de fin,
- el APY baja rápido cuando entra más TVL.
La pregunta es:
¿Tu estrategia sigue teniendo sentido si el incentivo cae 70% mañana?
Para ordenar tasas y no mezclar APR con APY: calculadora APY/APR.
Riesgo 7: gobernanza (cambios de parámetros cuando ya estás adentro)
Un protocolo puede cambiar:
- umbrales de liquidación,
- caps de activos,
- fees,
- modelos de tasa.
Eso puede mejorar el sistema, pero también puede afectar tu posición. Si participas o delegas, aprende a leer cambios con un marco: cómo leer una propuesta de governance.
Riesgo 8: riesgo operativo (wallet, permisos, phishing)
Muchos usuarios pierden fondos por errores operativos, no por fórmulas.
Checklist operativo:
- usa una wallet segura; separa fondos principales de fondos de prueba,
- revisa permisos de tokens (approval infinito es un riesgo),
- desconfía de links por DM, "soporte", y airdrops no solicitados,
- firma solo lo que entiendes (mensajes, transacciones, permisos).
Guía práctica: seguridad básica en crypto.
Cómo empezar sin quemarte (enfoque práctico)
- Empieza con un monto que puedas perder sin destruir tu plan financiero.
- Prueba el flujo de entrada y salida con un monto pequeño.
- Anota: qué depositaste, dónde, por qué, qué te haría salir, y cómo monitorear.
- Si hay deuda, define un buffer y monitoreo. Usa: calculadora de liquidación.
Señales verdes y rojas (atajo mental)
Señales verdes:
- documentación clara y parámetros visibles,
- timelock para cambios sensibles y control por multisig,
- auditorías recientes y respuesta pública a incidentes,
- límites (caps) y pausas bien definidas.
Señales rojas:
- APY alto sin explicación concreta,
- upgrades sin timelock o controlados por una sola llave,
- token incentivo ilíquido o con emisiones agresivas,
- presión por urgencia ("entra ya") o lenguaje de certeza.
Preguntas frecuentes
¿Un audit significa que es seguro?
No. Un audit reduce riesgo, pero no lo elimina. Lo que importa es el conjunto: audits, respuesta a incidentes, controles de upgrade, límites, y transparencia.
¿Qué señal simple indica riesgo alto?
Si el rendimiento es alto y no puedes explicar de dónde sale, asume riesgo alto hasta que puedas. Otra señal: control centralizado sin timelock.
¿Cómo evalúo un protocolo sin ser técnico?
Usa señales prácticas: documentación clara, historial público, incidentes y respuesta, claridad en llaves admin, y límites. Y empieza pequeño.
¿Qué hago si una stablecoin se desvía de 1?
Depende del tipo de stablecoin y del contexto. No asumas que siempre vuelve. Ten un plan antes de estar en pánico.
¿Dónde aprendo los conceptos base sin perderme?
Empieza por las guías ancla: APR a APY, impermanent loss, y precio de liquidación.
Siguiente paso
Usa este checklist antes de cualquier depósito nuevo. Si tu estrategia usa deuda, calcula tu margen: calculadora de precio de liquidación. Si tu estrategia usa pools, cuantifica IL: simulador de impermanent loss.