Unregulated App-Layer Protocols Destroy Trust Within The Solana Ecosystem

Opinión de: Daniel Kelly Kennedy, fundador de 58th St. Digital

Muchos ven las regulaciones como un obstáculo, hasta que su dinero desaparece y descubren que están tratando con exchanges digitales no regulados, a menudo domiciliados en paraísos fiscales con estructuras opacas, sin supervisión y con total impunidad. Uno podría llamarlo perseguir un fantasma.

El punto más débil de Solana, por diseño, es la seguridad, particularmente para los traders minoristas que sirven como una prueba de estrés para la red.

Las personas se enfrentan a un bombardeo constante de estafas y exploits: airdrops no deseados, imitadores, envenenamiento de direcciones, drenajes por phishing y más. Estos ataques se dirigen a la capa de aplicación descentralizada (DApp) a través de wallets e interfaces de exchange descentralizado (DEX).

Una sola operación puede involucrar a dos o tres empresas separadas, cada una con sus propias políticas y vulnerabilidades, haciendo que la restitución sea casi imposible.

Empujando el trilema hacia el cliente

Estos no son casos aislados, sino fallos sistémicos vinculados al trilema de escalabilidad de Solana: priorizar la velocidad y la descentralización sobre la seguridad para ofrecer tarifas bajas a expensas de la resiliencia.

Cada operación en Solana fuerza a los usuarios a su propia versión del trilema: pagar tarifas más altas ahora o aceptar tarifas más bajas a cambio de una probabilidad de aproximadamente el 30% de que eventualmente pierdan toda su inversión.

Cada nueva capa presenta sus propios desafíos de integración, junto con nuevas vulnerabilidades que pueden ser explotadas. Ninguna plataforma hace nada para asegurar realmente las transacciones y a menudo emplea la ilusión de seguridad, lo que solo proporciona una falsa sensación de seguridad, similar a un placebo, a los usuarios, exacerbando los problemas cuando ocurren e incluso contribuyendo a ellos.

Los vectores de ataque son numerosos y sus creadores son hábiles, lo que los hace difíciles de evitar. Es un juego de ruleta rusa que la mayoría de los usuarios ni siquiera se dan cuenta de que están jugando hasta que algo sale mal y tienen que desentrañar una transacción. Esta estructura nebulosa también exime de responsabilidad a los proveedores de servicios descentralizados, conocidos por adoptar una actitud de “mala suerte” ante cualquier reclamación de clientes, incluso en casos claros de eventos anómalos.

La blockchain es segura e inmutable. Sin embargo, la mayor parte de la seguridad de cara al cliente se gestiona en la capa de la DApp y no en la blockchain misma. Aun así, cuando un cliente cuestiona la seguridad de la capa de aplicación, se le remite continuamente a los datos on-chain, que son irrelevantes y no pueden explicar lo que sucedió en la capa de aplicación, creando un ciclo de retroalimentación que erosiona la confianza que se supone debe proteger.

El exploit revela la debilidad subyacente

Después de 10 años de operar cripto principalmente en exchanges centralizados, un movimiento a Solana para apoyar un nuevo proyecto, usando Phantom y enrutando swaps a través de Jupiter, se encontró con el caos: airdrops de spam, tokens falsos en abundancia y una cultura que parece celebrar el riesgo.

Múltiples usuarios informaron de un airdrop no deseado de 21 millones de tokens. Phantom simplemente suprimió y ocultó el token de su interfaz en lugar de eliminarlo, creando una falsa sensación de seguridad para los usuarios. Meses después, el 8 de septiembre de 2025, justo horas después del descubrimiento del mayor exploit de la cadena de suministro del gestor de paquetes de nodos (NPM) en la historia de las criptomonedas, el mismo token resurgió y secuestró un swap enrutado por Jupiter. Aproximadamente 196 Solana (SOL) (aproximadamente 36.000 dólares en ese momento) fueron redirigidos a una dirección falsificada.

El comportamiento coincidió exactamente con el código de intercambio de direcciones documentado en el exploit de NPM. Sin embargo, Jupiter y Phantom se declararon públicamente “no afectados” en un plazo de tres horas, demasiado pronto para haber realizado una auditoría completa. No se ha publicado ninguna auditoría exhaustiva.

Según los informes, un usuario verificado recibió un reembolso de 250.000 dólares después de un exploit del mismo vector y dentro del mismo período de tiempo. Al mismo tiempo, múltiples reclamantes menores fueron desestimados por negligencia y se les dijo que tenían la culpa, a pesar de que era claro que el exploit (o un protocolo de seguridad temporal de la capa de aplicación para frustrar el ataque) fue casi con certeza la causa del fallo de la supresión y la permisividad de que el token reapareciera y robara los fondos de las personas.

El patrón sugiere una respuesta calculada: negar la exposición, compensar discretamente las pérdidas significativas y usar abogados para manipular y marginar a todos los demás.

La plataforma de Jupiter es un “agregador” de código abierto y no un exchange, a pesar de ofrecer servicios de exchange (swaps) por una tarifa. Está construida sobre código abierto y se discute como si fuera un fenómeno natural que surgió del terreno fértil de internet. Esto es simplemente una maniobra semántica para evitar responsabilidades.

Las implicaciones más amplias

Ser víctima de un rug pull en Solana a través de Pump.fun o cualquiera de sus muchas plataformas enfocadas en minoristas se ha vuelto tan común que ahora está consagrado en memes y es un rito de iniciación, como apostar en un casino al aire libre sin vigilancia, defendiéndote constantemente de ladrones que intentan insertar sus tarjetas de jugador en tu máquina para redirigir tus ganancias a su cuenta. Incluso si logras ganar, todavía tienes que cobrar y llegar a casa sin que te roben.

Todo esto requiere un nivel de concentración y calma que se siente como Neo esquivando balas en “The Matrix”.

La infraestructura se construyó en torno a la creencia de que el dinero tiene valor

El “valor” real del dinero se define por la infraestructura construida en torno a la creencia de que lo que sea (barras de oro, conchas marinas, tablillas maoríes, billetes de dólares) tiene valor. Es la infraestructura misma la que, en última instancia, define el valor.

La debilidad central de Solana no es la velocidad o la escalabilidad; es su dependencia de una infraestructura débil. La red terceriza la seguridad a aplicaciones y agregadores de terceros no regulados que operan sin una supervisión significativa. Un ecosistema fuerte depende de una infraestructura resiliente, pero la base de Solana se asemeja cada vez más a un casino digital construido sobre incentivos a corto plazo en lugar de confianza.

Las plataformas DEX operan en un vacío legal y simplemente traspasan los riesgos a los usuarios a través de sus políticas y soporte al cliente.

Jupiter ejemplifica el problema: una sociedad holding registrada en las Islas Vírgenes Británicas que afirma no ser “un exchange” no acepta ninguna responsabilidad por la actividad en su plataforma y ahora comercializa productos de mayor riesgo (perps, futuros, préstamos) junto con incentivos estilo casino destinados a mantener a los usuarios girando la rueda.

Phantom no es mejor. Su arquitectura permite una economía sumergida de fraude y suplantación que podría mitigarse con salvaguardas básicas.

La mascota de Jupiter es un gato, es decir, un imitador, y la de Phantom es un fantasma, es decir, suplantación (spoofing). No solo abrazan la inseguridad y la naturaleza nebulosa de sus plataformas, sino que también la celebran.

A medida que las finanzas descentralizadas se expanden en Solana a través de fondos cotizados (ETF), tesorerías de empresas públicas y activos tokenizados, estas responsabilidades ocultas se extenderán a millones de usuarios y transacciones más grandes, convirtiendo las grietas en abismos.

Hasta que los proveedores del ecosistema de Solana asuman una responsabilidad real por la protección del usuario, o los reguladores los obliguen a hacerlo, la moneda más valiosa de la red, la confianza, seguirá devaluándose con cada transacción perdida.

La confianza es el bien intangible más valioso en los criptoactivos; cuando se rompe, todo el ecosistema corre el riesgo de colapsar.

Opinión de: Daniel Kelly Kennedy, fundador de 58th St. Digital.

Este artículo tiene fines de información general y no pretende ser ni debe tomarse como asesoramiento legal o de inversión. Los puntos de vista, pensamientos y opiniones expresados aquí son únicamente los del autor y no necesariamente reflejan o representan los puntos de vista y opiniones de Cointelegraph.