Antes de depositar en cualquier protocolo DeFi, hay preguntas que tenés que poder responder.

No es opcional. No es para paranoicos. Es la diferencia entre invertir y apostar.

En el sistema financiero tradicional hay reguladores, seguros de depósito y marcos legales que te protegen si algo sale mal.

En DeFi no hay nada de eso. La única protección real es tu propio due diligence.

Si un protocolo DeFi te roba o es hackeado, no hay a quién llamar. No hay forma de revertir la transacción. El dinero se fue.

Por eso la investigación previa no es opcional.

Antigüedad del protocolo
¿Cuánto tiempo lleva funcionando? Un protocolo con 2 años de historia sin exploits mayores dice algo importante sobre la calidad de su código. Los protocolos nuevos tienen código no probado en condiciones reales.

Auditorías de seguridad
¿Fue auditado? ¿Por quiénes? Las firmas de auditoría más reconocidas incluyen Trail of Bits, OpenZeppelin, Certik, Quantstamp y Chainsecurity. Una auditoría de una firma desconocida vale poco. Sin auditoría, el riesgo es extremo.

TVL y su historial
¿Cuánto valor hay bloqueado? ¿Cómo evolucionó? Una caída repentina de TVL sin explicación puede indicar que usuarios informados están saliendo. DeFiLlama.com es la fuente más confiable para este dato.

Código público y verificado
El código del contrato tiene que ser público y verificado en Etherscan o el explorador de la blockchain correspondiente. Si no está verificado, no podés saber qué hace ese contrato realmente.

Distribución de tokens
En Etherscan revisá los top holders. Si una o dos wallets tienen más del 20-30% del supply, el riesgo de manipulación es alto.

Liquidez bloqueada
Para proyectos con pools de liquidez, verificá que esa liquidez esté bloqueada en contratos de timelock — al menos 6 meses. Team Finance y Unicrypt son las plataformas más usadas para esto.

Equipo identificable
¿Quiénes están detrás? ¿Tienen historial verificable en la industria? El anonimato no es automáticamente una señal de alerta — algunos de los mejores proyectos tienen teams anónimos — pero combinado con otras señales sí lo es.

Comunidad y actividad
¿Hay actividad real en Discord, Telegram o foros? ¿Las preguntas difíciles reciben respuestas o son eliminadas? Un equipo que censura preguntas sobre el código o la tokenomics es una señal de alerta.

DeFiLlama — TVL, historial, métricas de protocolos
Etherscan — verificación de contratos, holders, transacciones
Token Sniffer — detección automática de contratos maliciosos
Honeypot.is — verificar si un token permite vender o es un honeypot
DefiSafety.com — puntajes de seguridad para protocolos establecidos
Revoke.cash — revocar aprobaciones de contratos que ya no usás

Ningún checklist elimina el riesgo completamente. Protocolos auditados han sido hackeados. Equipos públicos han hecho rug pulls.

Lo que el due diligence hace es reducir significativamente la probabilidad de caer en algo evitable.

Los riesgos que quedan después de un due diligence sólido son los riesgos inherentes del ecosistema — los que asumís conscientemente a cambio del potencial de rendimiento.

Esos son los únicos riesgos que vale la pena asumir.

La alpaca no para. Seguí aprendiendo, seguí invirtiendo.