Os habéis pasado cuatro lecciones aprendiendo a cosechar huecos del 1% entre la Cadena A y la Cadena B: liquidación a dos patas, gestión de inventario, reequilibrio del float que va y viene de un lado a otro. Todo ello daba por hecho, calladamente, que la tubería entre cadenas funciona. Esta lección va del día en que la tubería no funciona.
Un puente no es una utilidad neutral como un cable de fibra óptica. Es un contrato inteligente (o un comité, o ambos) que custodia un montón de activos bloqueados, y le estáis confiando vuestro dinero durante todo el tiempo que vuestro capital esté en tránsito o envuelto (wrapped). Cuando explotan un puente, el spread que ganasteis en tres años puede esfumarse en un solo bloque. Así que, antes de escalar la estrategia, tenéis que hacer eso que el arbitrajista despreocupado nunca hace: mirar de frente a la cola.
El puente es ahora vuestra contraparte
Before you read — take a guess
Cuando vuestro USDC está bloqueado en la Cadena A y tenéis la versión wrapped en la Cadena B, ¿qué tipo de riesgo estáis asumiendo principalmente sobre el puente en sí?
Analogía. Imaginad que lleváis un negocio con mucho efectivo y guardáis vuestro float operativo en una cámara acorazada al otro lado de la ciudad. Nunca habéis conocido al cerrajero, no sabéis leer los planos, y la cámara se anuncia públicamente como portadora de nueve cifras. Mientras las cerraduras aguanten, ganáis vuestro spread y nunca pensáis en ello. En el momento en que alguien falsifica una llave, vuestro float — todo — simplemente desaparece. El precio de mercado del efectivo no se movió; vuestro custodio falló.
Definición. Cuando hacéis bridge, tres cubos de vuestro capital quedan detrás de la seguridad del puente:
| Dónde está el capital | Qué lo respalda | Qué lo mata |
|---|---|---|
| Colateral bloqueado en la cadena origen | El contrato lock | Un exploit de vaciado o de mensaje falsificado |
| Tokens wrapped en la cadena destino | El derecho 1:1 sobre el lock | El lock vaciándose (el token wrapped pierde el peg hacia ~0) |
| Inventario en tránsito a mitad de salto | El proceso de relay/atestación | Un mensaje fallido o censurado |
Lo que tenéis que ser capaces de enunciar para cualquier puente antes de enrutar tamaño a través de él es su supuesto de confianza: ¿quién podría falsificar un mensaje o vaciar el lock, y qué se lo impide? Si no podéis responder a eso en una frase, no sabéis lo que tenéis entre manos.
Completa la distinción central.
Elige la opción correcta para cada hueco y comprueba.
Un exploit de un puente es una pérdida de , lo que lo convierte en riesgo de en lugar de riesgo de — el precio del activo no tiene que moverse en absoluto para que lo perdáis todo.
Un junior de vuestra mesa dice: 'Estamos delta-hedged en ambas patas, así que el libro cross-chain es básicamente libre de riesgo.' ¿Cuál es el fallo de ese razonamiento?
Trampa: confundir neutral al mercado con libre de riesgo
Un arb a dos patas puede ser perfectamente delta-neutral y aun así estar a una firma falsificada de una pérdida del 100%. La cobertura os protege del precio de ETH; no hace nada si el contrato que custodia vuestro colateral se vacía. El riesgo de custodia es ortogonal al riesgo de mercado — y tiene una cola mucho más gorda.
Cuándo importa
Este enfoque importa más precisamente cuando la operación parece más limpia. Un libro cross-chain ajustado, bien cubierto y de alto Sharpe parece seguro, que es exactamente cuando las mesas dejan que su exposición por puente vaya creciendo en silencio. La lente de contraparte fuerza la pregunta correcta — “¿cuánto de mi capital puede borrar un solo contrato?” — de vuelta al centro de la página.
Clasificar los puentes por modelo de confianza
Before you read — take a guess
¿Qué modelo de confianza de puente ha sido históricamente el más explotado por las mayores pérdidas en dólares?
Analogía. Pensad en cómo un mensaje llega a ser creído. Podéis confiar en él porque un comité que vosotros designasteis lo firmó (verificado externamente). Podéis confiar en él porque cualquiera podía impugnarlo durante un periodo de espera y nadie lo hizo (optimista). Podéis confiar en él porque la cadena destino comprobó las matemáticas de la cadena origen por sí misma (verificado nativamente). Cada uno compra confianza con una moneda distinta: personas, tiempo o cómputo.
Definición. Cuatro familias, con el eterno trade-off de confianza ↔ velocidad ↔ coste:
| Modelo de confianza | Cómo se cree un mensaje | Confianza que asumís | Velocidad | Coste / complejidad |
|---|---|---|---|---|
| Verificado externamente / de confianza | Un multisig o comité MPC firma una atestación | El comité no será comprometido ni se confabulará | Rápida | Barato, pero el más hackeado |
| Optimista | Publicado como válido; una ventana de impugnación deja que los vigilantes envíen fraud-proofs | Al menos un vigilante honesto está en línea | Lenta (ventana) | Confianza más barata, coste de latencia |
| Verificado nativamente / por cliente ligero | La cadena destino verifica criptográficamente el consenso de la cadena origen (IBC, clientes ligeros zk) | El propio consenso de las cadenas / un circuito demostrado | Media | El más caro, complejo de construir |
| Red de liquidez | Un relayer adelanta liquidez, liquidando contra un mensaje subyacente | Relayer + la capa de mensajería subyacente | Rápida | Moderado; cuenta dos veces la confianza del mensaje |
La idea clave: una confianza más fuerte no es gratis. La verificación nativa minimiza en quién confiáis, pero es cara de ingenierizar y a menudo más lenta de finalizar. Los puentes verificados externamente son rápidos y baratos porque habéis externalizado la verificación a un comité — que es también por lo que encabezan la tabla de pérdidas. Los puentes optimistas empujan el coste hacia la latencia: la ventana de impugnación tiene que ser lo bastante larga para que un vigilante honesto reaccione, y vuestro capital queda atrapado toda esa ventana.
Clasifica cada descripción de puente en su modelo de confianza.
Place each item in the right group.
- Un comité MPC de 9 de 13 co-firma cada atestación cross-chain
- Se comprueba una prueba zk del consenso de la cadena origen en la cadena destino antes de liberar los fondos
- Los mensajes se publican al instante pero pueden revertirse con un fraud-proof dentro de una ventana de impugnación de 30 minutos
- Las retiradas se liquidan solo después de que transcurra un periodo de disputa vigilado sin una impugnación exitosa
- Un conjunto rotatorio de validadores atesta las transferencias; compromete las claves y acuñas a discreción
- La cadena destino ejecuta un cliente ligero que verifica por sí mismo las cabeceras de bloque y las firmas de validadores de la cadena origen
Empareja cada modelo de confianza con el fallo al que está más expuesto.
Pick a term, then click its definition.
Trampa: 'descentralizado' en la página de marketing ≠ confianza minimizada en el contrato
Un puente puede llamarse a sí mismo descentralizado mientras un multisig de 5 de 8 tiene las llaves de todo el lock. Leed el supuesto de confianza, no la marca. La pregunta nunca es “¿es descentralizado?” — es “¿quién podría falsificar un mensaje y qué se lo impide?”. Si la respuesta honesta es “un puñado de firmantes”, estáis en la clase más hackeada por mucho que reluzca el logo.
Cuándo importa
El modelo de confianza dicta cómo dimensionáis y durante cuánto tiempo queda expuesto vuestro capital. La ventana de impugnación de un puente optimista alarga directamente vuestro ciclo de inventario (volvemos a las matemáticas del reequilibrio de antes) y ata el float. Un puente verificado externamente liquida rápido pero exige que limitéis la exposición a tope, porque el peor caso es total. No podéis elegir un puente solo por la comisión — la comisión es una columna en un trade-off de tres columnas.
Una historia corta y cara
Before you read — take a guess
¿Qué hizo que el hackeo del puente Nomad (ago. 2022, ≈ $190M) se extendiera a un enjambre de oportunistas en lugar de a un solo atacante?
Los puentes son honeypots por construcción: concentran un valor enorme detrás de código novedoso y poco auditado, y luego anuncian la dirección. Aquí están los desastres canónicos — las cifras son aproximadas y están bien documentadas.
- Mayor vaciado de un solo puente
- -625% · Ronin (mar. 2022)
Cada barra es un exploit de puente, escalado en cientos de millones de dólares (p. ej. Ronin ≈ $625M aparece como −6.25). Esto no son cracs de mercado — son fallos de custodia, y las pérdidas acumuladas de puentes alcanzan los miles de millones. Arrastra el dial para imaginar tu propio tamaño de posición frente a ese telón de fondo y pregúntate: ¿habría sido todo mi libro una de estas barras?
| Puente | ≈ Pérdida | Fecha | Causa raíz | Clase de confianza | Lección que enseña |
|---|---|---|---|---|---|
| Ronin | $625M | Mar. 2022 | Claves de validador comprometidas (5 de 9 firmantes) | Verificado externamente | Un conjunto pequeño de firmantes está a una campaña de phishing de la pérdida total |
| Poly Network | $611M | Ago. 2021 | Una llamada entre contratos permitió al atacante cambiar el keeper (mayormente devuelto) | Verificado externamente | Las funciones privilegiadas son el bajo vientre; incluso los fondos “devueltos” son suerte, no diseño |
| BNB Bridge | $586M | Oct. 2022 | Prueba de Merkle falsificada / mensaje aceptado como válido | Verificado externamente | La lógica de verificación de mensajes es código de alto riesgo; un fallo acuña fondos arbitrarios |
| Wormhole | $326M | Feb. 2022 | Un bug de verificación de firmas dejó a un atacante falsificar la aprobación del guardian | Verificado externamente | ”Comprueba las firmas” no vale nada si la comprobación puede saltarse |
| Nomad | $190M | Ago. 2022 | Una actualización defectuosa hizo válido cualquier mensaje — una barra libre abierta | Optimista (roto) | Una mala actualización puede anular todo el modelo de seguridad de la noche a la mañana |
El patrón es brutal y consistente: los puentes verificados externamente dominan la tabla porque comprometer un comité, un conjunto de claves o una función de verificación desbloquea toda la cámara. Recurren tres formas distintas de fallo:
- Compromiso de claves (Ronin): los humanos en los que confiabais cayeron en el phishing. Ningún bug de código necesario.
- Bug de verificación (Wormhole, BNB): el código que decide “¿es real este mensaje?” tenía un fallo, así que mensajes falsos acuñaron dinero real.
- Actualización chapucera (Nomad): un despliegue cambió las reglas para que todo validara, e internet se dio cuenta en cuestión de horas.
¿Cuáles dos de estas son causas raíz que han vaciado de verdad puentes de nueve cifras? (Selecciona todas las que apliquen.)
Por qué los puentes específicamente
El colateral de un pool de préstamos está repartido entre muchas posiciones; el colateral de un puente está agrupado en un solo lock con dirección pública y una superficie de bugs fija. Esa es la definición de honeypot: valor máximo, mínimo número de cerraduras que forzar, y código que a menudo es más nuevo que las cadenas que conecta. Los atacantes optimizan exactamente para esta concentración.
Cuándo importa
Esta historia es vuestro prior. Antes de enrutar tamaño, preguntad a cuál de estas tres formas de fallo está expuesto el puente — y suponed que el código tiene un bug que no podéis ver, porque todos los equipos de esa lista creían que el suyo no. La tasa base de fallo catastrófico de puentes no es cero, y la tabla de líderes es como la calibráis.
Poner precio a la cola
Before you read — take a guess
Vuestro libro cross-chain expone ≈ $4.000.000 a través de un puente y deja ≈ $200.000/año de carry bruto. Si la probabilidad anual ilustrativa de un vaciado catastrófico es del 2%, ¿cuál es la pérdida anual esperada por la cola?
Analogía. Imaginad una tragaperras que os paga un chorrito constante de monedas y, muy de vez en cuando, mete la mano en vuestro bolsillo y os quita la casa. Miradla una tarde y parece dinero gratis. El marco de “dinero gratis” sobrevive precisamente porque el evento de quitar-la-casa es raro — su ausencia no es prueba de que no vaya a pasar.
Las matemáticas (todas las cifras son ilustrativas). Tomad el libro canónico:
- Capital expuesto a través del puente: $4,000,000
- Carry bruto antes de la cola: ≈ $200,000/año
- Probabilidad anual ilustrativa de un vaciado catastrófico:
- Pérdida en ese evento: los $4,000,000 completos (los puentes se van a ~0, no caen un 20%)
Pérdida de cola anual esperada:
es decir, $80,000/año. Frente a $200,000 de carry bruto, la cola se come ~40% de vuestro edge en esperanza — y eso es el promedio, no la experiencia. Vuestro resultado real es bimodal:
| Resultado | Probabilidad | P&L de ese año |
|---|---|---|
| Año tranquilo (sin vaciado) | 98% | +$200,000 |
| Catástrofe | 2% | −$3,800,000 (perdéis $4M, conserváis el carry de $200k) |
Fijaos en que nunca experimentáis de verdad el “promedio de −$80.000”. Os toca un buen año o uno ruinoso. Los menos-ochenta-mil son un artificio contable de lo que el raro desastre os cuesta al año en promedio — que es justo el sentido de poner precio a una cola que no podéis sentir.
Ahora componedlo (recuerdo espaciado — riesgo de ruina y colas gordas). Un evento de ruina anual del 2% no espera educadamente su turno. A lo largo de un horizonte de 10 años:
Así que ≈ 18% — casi uno de cada cinco — de que este libro se coma una pérdida total en una década. Esa es la lente del riesgo de ruina de los prerrequisitos: una pequeña probabilidad de ruina por periodo se compone en una grande a lo largo de la vida. Y como la pérdida es un borrón total de cola gorda (no un meneo gaussiano), un dimensionamiento Kelly ingenuo sobre los retornos visibles sobreapostará masivamente — nunca vio la cola en la muestra, así que dimensionó como si la cola no existiera.
Completa la cadena de poner precio a la cola.
Elige la opción correcta para cada hueco y comprueba.
Pérdida de cola esperada = probabilidad × pérdida = 0,02 × $4M = al año, que es alrededor del del carry de $200k. A lo largo de 10 años, P(al menos un vaciado) = 1 − 0,98^10 ≈ .
Una mesa presenta un track record de 3 años de carry cross-chain constante con cero drawdowns y concluye que la estrategia es de bajo riesgo. ¿Cuál es el fallo más profundo?
Trampa: juzgar la estrategia por sus buenos años
La cola es invisible hasta que deja de serlo. Un libro con un evento de ruina del 2%/año, la mayoría de los años, registrará un historial limpio, de alto Sharpe y bajo drawdown — y ese track record impoluto es el cebo, no la señal de vía libre. Los backtests y el PnL en vivo solo pueden mostraros los años que el desastre se saltó. Poned precio a la cola explícitamente, o ella os pondrá precio a vosotros.
Cuándo importa
Poner precio a la cola importa más cuando estáis decidiendo cuánto agrandaros. El recorte de valor esperado (~40%) reconfigura si la operación supera siquiera vuestro umbral, y la cifra de ruina del 18%-en-una-década debería anclar vuestro dimensionamiento muy por debajo de lo que el Sharpe de los años tranquilos os tentaría a hacer. Si solo miráis el PnL realizado, sobreasignaréis sistemáticamente — porque el número que debería asustaros aún no ha aparecido en los datos.
Gestionar la cola
Before you read — take a guess
¿Qué control único acota más directamente el daño de que cualquier puente sea explotado?
Analogía. No podéis hacer la cámara imposible de forzar, así que hacéis lo que hace todo operador cuidadoso: guardar menos en cualquier cámara, repartir vuestro float entre varias cámaras gestionadas por gente distinta con diseños de cerradura distintos, y vigilar la noche en que el cerrajero cambia las cerraduras sin avisar.
Los controles, aproximadamente en orden de impacto:
| Control | Qué hace | Conecta con |
|---|---|---|
| Limitar la exposición por puente | Acota la pérdida de un solo evento a una cantidad sobrevivible — “nunca más de lo que podáis permitiros perder” | Riesgo de ruina: que cualquier pérdida única no sea fatal |
| Diversificar entre puentes y modelos de confianza | Descorrelaciona la cola; el compromiso de un comité no se lleva todo el libro | No compartáis un único modo de fallo |
| Preferir confianza más fuerte donde el carry lo justifique | Pagad el coste/latencia de la verificación nativa cuando el tamaño merezca minimizar la confianza | Trade-off confianza ↔ velocidad ↔ coste |
| Monitorizar actualizaciones y gobernanza | Una actualización chapucera (Nomad) o un voto de gobernanza hostil puede anular la seguridad de la noche a la mañana; retirad el capital de forma preventiva | La lección de Nomad, operacionalizada |
| Dimensionamiento Kelly fraccional | Apostad una fracción del Kelly completo para sobrevivir a la cola gorda que el backtest nunca vio | Kelly bajo incertidumbre de modelo |
El hilo conductor: no estáis intentando hacer la cola imposible — no podéis. Estáis intentando hacer que cualquier realización única de ella sea no fatal, para que el negocio sobreviva y siga cobrando carry. Un libro acotado, diversificado y humildemente dimensionado con monitorización convierte “18% de probabilidad de ruina en una década” en “18% de probabilidad de un año malo pero sobrevivible”.
Clasifica cada acción como Reduce el daño de cola o Aumenta el daño de cola.
Place each item in the right group.
- Escalar el tamaño porque el Sharpe de los años tranquilos pinta genial
- Retirar capital automáticamente cuando un puente anuncia una actualización de contrato no auditada
- Enrutar todo el libro de $4M a través del único puente más barato
- Tope duro de, p. ej., $500k de exposición por puente individual
- Repartir el float entre tres puentes con modelos de confianza distintos
- Dimensionar a una fracción del Kelly completo
La regla de oro del operador
Dimensionad cada puente de modo que, si se fuera a cero mañana, estuvierais molestos, no insolventes. Si la respuesta a “¿qué pasa si vacían este puente esta noche?” es algo peor que “perdemos una cantidad acotada y presupuestada de antemano”, estáis sobreexpuestos. El carry seguirá ahí la semana que viene; el capital no volverá a crecer.
Cuándo importa
El timing cruel: la cola domina exactamente cuando el carry lleva mucho tiempo pareciendo seguro en una larga racha tranquila. Cuanto más tiempo corre limpio el puente, más tentador es levantar el tope, concentrar y subir tamaño a lomos del track record — que es el momento preciso en que vuestra pérdida de un solo evento se dispara. La buena gestión de la cola es más valiosa cuando se siente menos necesaria. La disciplina durante la calma es la estrategia.
Repaso
Big picture
Confianza en puentes y riesgo de cola
- Confianza en puentes y riesgo de cola
- El puente como contraparte
- Capital bloqueado + wrapped + en tránsito, todo detrás de un contrato
- Riesgo de custodia, no de mercado — la cobertura no ayuda
- Taxonomía de confianza
- Verificado externamente (comité) — rápido, barato, el más hackeado
- Optimista (ventana de impugnación) — confianza más barata, lento
- Verificado nativamente (cliente ligero / zk) — el más fuerte, costoso
- Trade-off confianza ↔ velocidad ↔ coste
- Historial de hackeos
- Ronin ≈ $625M — claves de validador robadas
- Wormhole ≈ $326M — bug de verificación de firmas
- Nomad ≈ $190M — actualización chapucera, barra libre
- Poner precio a la cola
- 0,02 × $4M = $80k/año ≈ 40% del carry
- Bimodal: año tranquilo o pérdida total
- 1 − 0,98^10 ≈ 18% de ruina en una década
- Gestionar la cola
- Limitar la exposición por puente
- Diversificar puentes y modelos de confianza
- Monitorizar actualizaciones; dimensionamiento Kelly fraccional
- El puente como contraparte
Confianza en puentes y riesgo de cola: comprobación final
Vuestro USDC está bloqueado en la Cadena A y tenéis el token wrapped en la Cadena B. Vacían el puente. ¿Qué le pasa a vuestra posición?
Check your answer to continue.