Por Canuto  

Manuel Aráoz, cofundador de OpenZeppelin, afirmó que ahora considera inseguro a todo el ecosistema DeFi, al advertir que los agentes de programación impulsados por IA pueden encontrar vulnerabilidades con una ventaja “sobrehumana” frente a defensores que deben corregir todos los errores posibles.

***

  • Manuel Aráoz dijo que ahora considera inseguro a “todo DeFi” y que ha recomendado en privado a amigos y familiares salir de todas sus posiciones en finanzas descentralizadas.
  • El cofundador de OpenZeppelin apuntó a la asimetría entre atacantes y defensores: quienes protegen protocolos deben corregir cada fallo, mientras que los atacantes solo necesitan una explotación para robar fondos.
  • El comentario llega tras una ola de ataques contra protocolos DeFi, con casi USD $630 millones robados en abril.

 

Manuel Aráoz, cofundador de la firma de seguridad cripto OpenZeppelin, encendió el debate dentro del ecosistema blockchain tras afirmar que ahora considera inseguro a “todo DeFi”. La declaración fue publicada el martes 26 de mayo de 2026 en X y rápidamente generó discusión entre desarrolladores, auditores, inversionistas y usuarios de protocolos descentralizados.

El mensaje de Aráoz no fue una advertencia limitada a proyectos pequeños o experimentales. Según escribió, ha estado aconsejando en privado a amigos y familiares salir de todas sus posiciones en DeFi, incluidas posiciones consideradas de menor riesgo en protocolos “blue chip” como Aave, MakerDAO y Compound.

La afirmación es significativa porque proviene de una figura vinculada a OpenZeppelin, una de las firmas más conocidas en seguridad de contratos inteligentes. Sus herramientas, librerías y auditorías han sido ampliamente utilizadas por equipos del ecosistema cripto para construir y revisar aplicaciones descentralizadas.

De acuerdo con The Block, Aráoz fundamentó su postura en una asimetría cada vez más marcada entre atacantes y defensores. En su visión, los agentes de codificación impulsados por inteligencia artificial han alcanzado capacidades “sobrehumanas” para encontrar vulnerabilidades, mientras que los equipos de seguridad siguen obligados a proteger cada punto débil posible.

La tesis de Aráoz: una defensa cada vez más desigual

Aráoz resumió su preocupación en una frase directa: “Los agentes de codificación son sobrehumanos para encontrar vulnerabilidades, y la seguridad de los contratos inteligentes es demasiado asimétrica“. Según explicó, los defensores necesitan corregir cada error, mientras que los atacantes solo necesitan una explotación para robar fondos.

La idea no es nueva en ciberseguridad, pero adquiere una dimensión especial en DeFi. En las finanzas descentralizadas, los contratos inteligentes pueden administrar grandes cantidades de valor sin intervención humana directa. Si existe una falla explotable, un atacante puede automatizar la extracción de fondos en cuestión de minutos o incluso segundos.

Para lectores menos familiarizados con el tema, DeFi se refiere a protocolos financieros basados en blockchain que permiten prestar, tomar préstamos, intercambiar activos, participar en mercados de derivados o generar rendimiento sin intermediarios tradicionales. Estos sistemas se apoyan en contratos inteligentes, que ejecutan reglas automáticamente una vez desplegados en una red.

El problema, según la advertencia de Aráoz, es que esta automatización convierte cualquier error en una posible vía de pérdida inmediata. A diferencia de la banca tradicional, donde pueden existir controles humanos, reversos operativos o congelamientos administrativos, muchas operaciones en DeFi son irreversibles una vez confirmadas on-chain.

La llegada de agentes de programación con capacidades avanzadas de análisis agrava ese desequilibrio. Si estas herramientas pueden revisar código, detectar combinaciones de fallas y explorar escenarios de ataque con mayor velocidad que los equipos humanos, la ventaja ofensiva podría ampliarse.

La preocupación no se limita al código

El debate posterior llevó a Aráoz a aclarar que su advertencia no apunta únicamente al código de los contratos inteligentes. Según el material compartido, su tesis abarca también la configuración de parámetros, el diseño de mecanismos y la seguridad operativa, conocida como opsec.

Esta aclaración es importante porque muchos incidentes en DeFi no surgen de una línea de código mal escrita, sino de cómo se configura o administra un protocolo. Un contrato puede haber sido auditado y aun así quedar expuesto si sus parámetros de riesgo, permisos, oráculos, puentes o llaves operativas presentan debilidades.

La configuración de parámetros incluye elementos como límites de colateral, umbrales de liquidación, tasas, pausas de emergencia, permisos de actualización o mecanismos de emisión. En un sistema financiero automatizado, un valor mal calibrado puede abrir oportunidades de manipulación incluso cuando el contrato ejecuta correctamente lo que fue programado.

El diseño de mecanismos se refiere a la lógica económica del protocolo. En DeFi, no basta con que el código funcione: también debe resistir incentivos adversos. Si un atacante puede manipular un mercado, alterar un precio de referencia, aprovechar una dependencia externa o combinar varios protocolos para crear un arbitraje destructivo, el sistema puede fallar sin que exista un bug convencional.

La opsec, por su parte, abarca la seguridad de claves privadas, multisigs, procesos internos, despliegues, actualizaciones y permisos administrativos. En varios ataques recientes, el punto de falla no fue necesariamente un contrato mal construido, sino una llave comprometida o una función privilegiada controlada por una sola entidad.

Abril marcó uno de los peores meses para exploits DeFi

Las declaraciones de Aráoz llegan en un momento de fuerte presión para la seguridad DeFi. Según datos citados por The Block, casi USD $630 millones fueron robados de protocolos DeFi en abril, lo que convirtió ese mes en el peor para hacks y exploits desde febrero de 2025.

La comparación con febrero de 2025 es relevante porque ese mes estuvo marcado por el hackeo a Bybit por aproximadamente USD $1.500 millones. Aunque Bybit no es presentado en el informe como un protocolo DeFi, el episodio sirve como referencia para dimensionar la gravedad del deterioro reciente en seguridad cripto.

Abril estuvo marcado por dos ataques de gran escala: el exploit de Drift, por USD $285 millones, que cayó víctima de un esquema de ingeniería social de seis meses, y el de Kelp DAO, por USD $293 millones, dirigido contra una vulnerabilidad en su puente cross-chain.

Ambos ataques han sido ampliamente atribuidos a hackers respaldados por el Estado de Corea del Norte, según el informe. Esa atribución eleva la dimensión del problema: los protocolos DeFi no solo enfrentan a atacantes individuales, sino también a grupos altamente organizados, con recursos, paciencia operativa y capacidad para ejecutar campañas prolongadas.

De acuerdo con datos de DefiLlama citados en la cobertura, abril registró 27 casos reportados de exploits DeFi. La cantidad de incidentes refuerza el punto de Aráoz sobre la asimetría defensiva: no se trata únicamente de ataques aislados, sino de una presión sostenida contra múltiples superficies del ecosistema.

Mayo también registra incidentes, aunque de menor escala

La situación no se detuvo en abril. En mayo, hasta el momento del informe, se habían registrado 25 exploits DeFi, aunque de menor escala en comparación con los grandes ataques del mes anterior.

Entre los casos destacados aparece Verus Network, cuyo puente de Ethereum fue explotado por USD $11,6 millones. Los puentes cross-chain son una de las áreas más sensibles de DeFi porque conectan liquidez entre redes y dependen de sistemas de mensajería, validación o custodia que pueden introducir riesgos adicionales.

También se menciona a Polymarket, plataforma de mercados de predicción, que reconoció una brecha de seguridad por USD $573.200 la semana pasada. El incidente posiblemente estuvo vinculado con el compromiso de una clave privada relacionada con una billetera usada para operaciones internas de recarga.

Estos casos muestran la variedad de vectores de ataque. Algunos incidentes involucran vulnerabilidades en puentes; otros, ingeniería social; otros, compromisos de claves privadas; y otros, fallas de configuración o procesos operativos. Ese mapa de riesgos coincide con la aclaración de Aráoz sobre que el problema no se reduce al código.

Para el usuario común, esta diversidad de amenazas dificulta evaluar qué protocolo es realmente seguro. Un proyecto puede tener auditorías públicas, liquidez elevada y reputación institucional, pero seguir expuesto a riesgos operativos, dependencias externas o vectores que no son visibles desde la interfaz del usuario.

La confianza en DeFi muestra señales de deterioro

El impacto de esta ola de ataques también se refleja en el valor total bloqueado, o TVL, dentro de los protocolos DeFi. Según los datos citados, el TVL cayó alrededor de 14% desde mediados de abril.

La cifra pasó de aproximadamente USD $172.000 millones a USD $148.000 millones. Esta caída puede interpretarse como una señal de menor confianza, menor apetito por riesgo o salida de capital hacia alternativas consideradas más seguras.

El TVL es una métrica ampliamente usada para medir el capital depositado en protocolos DeFi. Aunque no refleja por sí sola la salud completa del sector, sí permite observar tendencias de liquidez, adopción y confianza de los usuarios.

Una caída de esta magnitud en pocas semanas sugiere que los incidentes de seguridad pueden tener efectos más amplios que las pérdidas directas de cada exploit. Cuando se acumulan ataques, los usuarios pueden retirar liquidez incluso de protocolos que no han sido vulnerados, simplemente por temor a que el próximo incidente afecte sus fondos.

La advertencia de Aráoz profundiza esa inquietud porque no distingue entre protocolos pequeños y grandes. Al mencionar incluso a Aave, MakerDAO y Compound como ejemplos de posiciones de las que ha recomendado salir a personas cercanas, su mensaje cuestiona la idea de que las “blue chips” DeFi estén suficientemente aisladas del riesgo sistémico.

IA, atacantes y el nuevo umbral de seguridad

El elemento más novedoso de la advertencia es el papel atribuido a los agentes de codificación. Para Aráoz, estas herramientas ya no son simplemente asistentes para desarrolladores, sino sistemas capaces de encontrar vulnerabilidades con una capacidad superior a la humana.

Ese cambio podría redefinir el estándar mínimo de seguridad en DeFi. Hasta ahora, muchos protocolos han confiado en auditorías, programas de recompensas por errores, revisiones comunitarias y monitoreo on-chain. Sin embargo, si los atacantes usan IA para explorar vulnerabilidades de forma masiva, esas defensas podrían volverse insuficientes o necesitar refuerzos significativos.

La asimetría es especialmente dura porque los defensores deben cubrir código, parámetros, mecanismos económicos, dependencias externas, claves privadas y operaciones internas. Los atacantes, en cambio, solo necesitan encontrar una grieta viable y explotarla antes de que sea corregida.

Esto no significa necesariamente que cada protocolo DeFi vaya a ser explotado, ni que todos los fondos estén en riesgo inmediato. Pero la postura de Aráoz sí plantea una advertencia sistémica: el modelo actual de seguridad podría estar quedando rezagado frente a herramientas ofensivas más potentes.

El debate que se abre para la industria es profundo. Los equipos DeFi podrían necesitar más automatización defensiva, monitoreo continuo, mejores controles de permisos, timelocks, multisigs robustos, simulaciones económicas, límites de exposición y procesos operativos más estrictos antes de manejar grandes cantidades de capital.

Una advertencia extrema, pero difícil de ignorar

La declaración de Aráoz es extrema por su formulación: “todo DeFi” es inseguro. Sin embargo, el contexto de ataques recientes, pérdidas millonarias y caída del TVL ayuda a explicar por qué su comentario tuvo tanta resonancia.

Su advertencia no debe leerse únicamente como una crítica al código abierto o a los contratos inteligentes. El punto central es que DeFi combina complejidad técnica, incentivos económicos, ejecución irreversible y grandes reservas de capital en sistemas disponibles públicamente para cualquiera, incluidos atacantes sofisticados.

En ese entorno, la inteligencia artificial puede actuar como acelerador de riesgos. Puede ayudar a desarrolladores y auditores, pero también puede facilitar que atacantes encuentren rutas de explotación con más rapidez y precisión.

Para usuarios e inversionistas, el mensaje práctico es que el riesgo DeFi debe evaluarse más allá del rendimiento prometido o la reputación del protocolo. También importan la arquitectura, el historial de seguridad, la gestión de claves, el diseño económico, los controles administrativos y la capacidad de respuesta ante incidentes.

La advertencia de Aráoz no cierra el debate, pero sí marca un punto de inflexión. Si una figura asociada a una de las firmas de seguridad más reconocidas del sector recomienda salir incluso de posiciones consideradas conservadoras dentro de DeFi, la industria tendrá que responder con algo más que auditorías tradicionales.

Imagen original de DiarioBitcoin, creada con inteligencia artificial, de uso libre, licenciada bajo Dominio Público

Este artículo fue escrito por un redactor de contenido de IA

 


ADVERTENCIA: DiarioBitcoin ofrece contenido informativo y educativo sobre diversos temas, incluyendo criptomonedas, IA, tecnología y regulaciones. No brindamos asesoramiento financiero. Las inversiones en criptoactivos son de alto riesgo y pueden no ser adecuadas para todos. Investigue, consulte a un experto y verifique la legislación aplicable antes de invertir. Podría perder todo su capital.

Suscríbete a nuestro boletín

Artículos Relacionados