El ecosistema de las Finanzas Descentralizadas (DeFi) fue sacudido la semana pasada por una nueva brecha de seguridad que puso en entredicho la resiliencia de los protocolos cross-chain (de cadena cruzada), luego que Garden Finance, una plataforma ultrarrápida de intercambio y bridging de Bitcoin, sufrió un ciberataque el pasado 30 de octubre.
Este ciberataque, dejó una pérdida estimada de 11 millones de dólares, aproximadamente de acuerdo a lo señalado por el equipo de Garden Finance en un comunicado en la red social X, publicado al día siguiente del incidente.
— Jaz (@jzgulati) October 31, 2025
En el mensaje publicado en la cuenta de Jaz Gulati, cofundador de Garden, se señalaba: “Ayer, el solucionador de Garden se vio comprometido en una vulnerabilidad que afectó aproximadamente a 11 millones de dólares en fondos. Estamos investigando activamente la causa raíz y trabajando con socios de seguridad para rastrear el evento y prevenir incidentes similares en el futuro”.
“Es importante destacar que el protocolo de Garden no se vio afectado, no se perdieron fondos de los usuarios y el diseño sin confianza del sistema continúa funcionando según lo previsto. Este incidente se aisló a un solo solucionador, sin ningún impacto en el protocolo”, agrega el comunicado que continuó diciendo que pronto estaría operativo.
El incidente no solo marca un golpe financiero para la compañía, sino que también reaviva el debate sobre la seguridad de las infraestructuras de bridging en DeFi, un sector donde la promesa de descentralización y la cruda realidad de los exploits suelen chocar.
Debido a que el protocolo de Garden Finance, ha sido construido basado en la descentralización, se hace necesario para comprender la magnitud del ataque, y para ello, es esencial entender la naturaleza de Garden Finance.
Fundada hace en 2023, la plataforma se alzó como una solución de intercambio de Bitcoin (BTC) nativo, ultrarrápida y con la ambición de ser un verdadero puente cross-chain sin custodia (trustless), lo que abría el camino para nuevos usuarios.
Gulati, cofundador de la plataforma es una figura conocida en el espacio DeFi por su trabajo como fundador y diseñador de producto en el ahora extinto Ren Protocol, y miembro de Safary Club, articuló la visión de la compañía poco antes del exploit. En un mensaje publicado en la red social X, “tres días antes del ciberataque”, Gulati reflexionó sobre el camino recorrido:
“Comencé hace 8 años este viaje [@renprotocol]. Hace dos años teníamos un objetivo más ambicioso: construir un sistema con menos barreras de escala [@gardenfi]. Todavía hay muchos problemas por resolver, pero eso es lo que nos motiva y no podría estar más orgulloso de lo lejos que hemos llegado”.
Este mensaje, republicaba otro de la cuenta de Garden Finance, que afirmaba haber “conectado” criptomonedas por valor de 2.000 millones de dólares, trasladándolas de una cadena de bloques a otra, gracias a su funcionamiento como puente.
I sincerely hope a government puts your team in prison with Diddy next cycle for ignoring victims like Bybit after >25% funds bridged are stolen funds
— ZachXBT (@zachxbt) October 28, 2025
El renombrado investigador on-chain ZachXBT, señaló en una polémica respuesta a su mensaje: “Sinceramente espero que un gobierno ponga a su equipo en prisión con Diddy en el próximo ciclo por ignorar a víctimas como Bybit después de que > el 25% de los fondos puenteados son fondos robados”.
Luego explicó a otro usuario que lo abordó sobre los Bridges: “Tornado es el único de estos tres que pasa mi prueba de estar descentralizado, por lo que los desarrolladores tienen mi apoyo (la tecnología continuó funcionando bien después de las sanciones/sus arrestos). Thorchain tiene una base de usuarios orgánicos más grande que Garden”.
“Garden aumentó el límite de intercambio a 10 BTC a principios de este año y desde entonces ha tenido algunas entidades ilícitas que abusan de grandes intercambios. Su silencio a la hora de devolver las 6 o 7 cifras de ganancias obtenidas por los actores ilícitos que los inundan es mi mayor problema”, dijo ZachXBT.
Chat, it’s DPRK.
It’s funds stolen from people, projects, protocols in this industry. Stolen from your friends.
Its funds stolen to keep the North Korean regime in power & enable them to live their lives of luxury at the expense of North Korean citizens and the world at large. https://t.co/yVCyxSWN1P
— Tay (@tayvano_) October 24, 2025
De hecho, varios días antes, el propio Gulati había anunciado este hito en su cuenta, y también terminó recibiendo fuertes críticas de otros actores del ecosistema cripto, como la que hizo el investigador de seguridad de MetaMask, Taylor Monahan, quién señaló: “Chat, es la RPDC. Son fondos robados a personas, proyectos y protocolos de esta industria. Robados a tus amigos. Son fondos robados para mantener al régimen norcoreano en el poder y permitirle vivir una vida de lujo a expensas de los ciudadanos norcoreanos y del mundo en general”.
Gulati, respondió a su vez Monahan, diciendo: “En primer lugar, la seguridad del usuario y el cumplimiento siempre han sido nuestra prioridad número uno, por lo que no tomamos estas afirmaciones a la ligera”.
“Garden ha implementado medidas de detección de direcciones y lucha contra el lavado de dinero desde el primer día, incluyendo TRM Labs. También hemos implementado API personalizadas proporcionadas por Binance y Bybit (activas desde julio) para permitir que los exchanges señalen directamente a los actores que consideren maliciosos. Buscamos constantemente maneras de mejorar estos procesos”.
“Vale la pena señalar que Garden es un sistema sin custodia, lo que significa que los fondos no se pueden confiscar ni devolver. Esa es una parte fundamental de su funcionamiento. Hemos estado trabajando en esta tecnología durante un tiempo, por lo que entendemos que es un problema difícil de resolver, pero no dejaremos que eso nos desanime”, afirmó Gulati.
Pero, el equipo de Garden no parece entender que cuando dos investigadores de seguridad on chain (distintos) tienen algo que decir de un protocolo que actúa como puente de Bitcoin, el mensaje es que “hay muchas cosas extrañas pasando que no sabemos” con Garden Finance.
Si bien, algunos ven a Garden Finance, como el sucesor ideológico del extinto protocolo Ren, superando sus limitaciones mediante una arquitectura más robusta, este incidente pareciera que pone en duda parte de su seguridad.
Es cierto que, el protocolo Garden Finance, opera utilizando Contratos con Bloqueo Temporal y Hash (HTLC) con confirmación instantánea, una innovación técnica diseñada para eliminar la necesidad de custodios externos.
Esto garantiza que, en teoría, los usuarios mantuvieran el control total de sus activos en todo momento, haciendo del sistema supuestamente “sin confianza”, pero lo que falló, fue un punto en la capa de “solucionadores” (resolvers).
Y aquí está la ironía es notable: “el sistema trustless mantuvo la seguridad de los fondos de los usuarios, pero falló en la protección de su propio inventario operacional”, un fallo que compromete la viabilidad de la plataforma, porque el ataque del 30 de octubre expuso la vulnerabilidad de este componente crítico de su arquitectura.
ZachXBT desde el inicio ofreció una perspectiva clara de este ciberataque, a través de su cuenta en Telegram: “Es probable que Garden Finance haya sido víctima de un robo de más de 10,8 millones de dólares en múltiples cadenas de bloques”, advirtió en un primer momento.
“Una dirección relacionada con el equipo envió un mensaje en la cadena de bloques al presunto explotador, ofreciéndole una recompensa del 10% por un ataque ético, pero aún no se ha pronunciado públicamente sobre el incidente. Todos los activos congelables fueron intercambiados rápidamente”.
“Dirección del robo: 0x98BCc6c34A489CEfdD9DfA8d792CFEFb02Ea2D12 y WZy4xxpqktWa1b6MPMRiWsD487CT8mDcapB6GufBJCH”.
Y añadió: “Irónicamente, hace unos días señalé en X cómo Garden Finance estaba ignorando a las víctimas en cuanto a la devolución de comisiones, después de que se estimara que más del 25% de su actividad total en Garden Finance estaba relacionada con fondos robados (explotación de Bybit, Swissborg, etc.)”.
En el volátil mundo de DeFi, donde los exploits son la principal amenaza, la transparencia y la validación externa son la única moneda de cambio para la credibilidad. Garden Finance no ha mencionado la existencia de un informe post-mortem, ni ha buscando un equipo de auditores del ciberataque.
Por lo que dentro de la comunidad, todavía hay muchas dudas con Garden Finance, y quizás muchos se queden sin probar su ambiciosa visión de un puente BTC seguro, por esa misma falta de transparencia y confianza que buscan los usuarios.