Según datos, hasta junio, el TVL de DeFi ha descendido de unos 115.000 millones de dólares a principios de año a unos 70.000 millones de dólares, una caída del 39%, casi mensual.
Al mismo tiempo, los incidentes de seguridad han supuesto otra presión para DeFi. Según estadísticas, desde 2026 se han producido 121 ataques de hackers en el sector DeFi, con pérdidas acumuladas de unos 942 millones de dólares. Solo en el segundo trimestre hubo 85 incidentes, con pérdidas de 775 millones de dólares, convirtiéndose en el trimestre con mayor actividad de ataques en ese período.
Con la popularización de las nuevas herramientas de IA, el coste y los requisitos de habilidad para encontrar vulnerabilidades en contratos inteligentes se han reducido drásticamente, obligando a las empresas de auditoría de seguridad a situarse en el centro de este cambio.
I. La IA en el lado del ataque: las antiguas defensas de seguridad están fallando
El colapso de la vieja lógica
Cuando el sector habla del impacto de la IA en el ámbito cripto, lo primero que viene a la mente suele ser el trading cuantitativo, los asesores robóticos y el análisis de datos on-chain. Pero la realidad ha ido por otro camino: lo primero que la IA ha vulnerado es el negocio que se consideraba más sólido: la auditoría de seguridad.
Hace dos o tres años, las empresas de auditoría de seguridad eran para los inversores objetivos conservadores para participar en el crecimiento del sector cripto. La lógica era sencilla y directa: siempre que hubiera un nuevo protocolo, necesitaría auditoría; cuanto más próspero fuera el sector, mayor la demanda de auditoría; precio unitario alto, ingresos estables, sin depender del precio de los tokens.
Los datos de Immunefi muestran que las pérdidas de los protocolos DeFi por ataques de hackers cayeron un 74% desde el pico de 26.200 millones de dólares en 2022 hasta unos 6.800 millones en 2025. La proporción de ataques a puentes cross-chain sobre el total de pérdidas en DeFi descendió drásticamente del 73% en 2022 al 3% en 2025. El sector creía que la maduración continua de la auditoría de seguridad estaba funcionando.
Sin embargo, esta evaluación se ha ido desacreditando.
El 9 de junio, Anthropic lanzó el nuevo modelo de IA Claude Mythos. Inmediatamente surgió en el mercado una opinión: el aumento anormal en la frecuencia de ataques a protocolos destacados recientemente podría estar relacionado con el continuo salto en las capacidades de los modelos de IA de vanguardia.
Simon Dedic, fundador de Moonrock Capital, señaló que con la popularización de las nuevas herramientas de IA, el coste y los requisitos de habilidad para encontrar vulnerabilidades en contratos inteligentes se reducirán prácticamente a cero, los protocolos no auditados se convertirán en objetivos y las vulnerabilidades conocidas se reproducirán continuamente.
Los datos de Chainalysis confirman esta tendencia: en los últimos seis meses, los ataques solo a contratos con código fuente no verificado públicamente causaron unas pérdidas de unos 36,7 millones de dólares. Los atacantes utilizan IA para ayudarse a descompilar el bytecode original en busca de vulnerabilidades, los grandes modelos de lenguaje ya pueden identificar patrones de vulnerabilidad a escala, escaneando sistemáticamente miles de contratos, incluyendo protocolos como Truebit, Aperture Finance, Ekubo.
El proceso completo desde el descubrimiento hasta la ejecución por parte de los atacantes se está comprimiendo a minutos. Los informes de auditoría tradicionales tienen una validez medida en meses. Esta diferencia temporal es la grieta estructural más letal del viejo modelo de auditoría.
¿Auditado y aún hackeado?
El objetivo principal de los ataques de hackers ya no son los pequeños protocolos de segunda o tercera línea. Drift Protocol es una plataforma líder de contratos perpetuos en Solana, cuyos contratos inteligentes han sido auditados en múltiples rondas por reconocidas firmas de seguridad. Pero la investigación de la firma de seguridad TRM Labs muestra que los atacantes, mediante un ataque de ingeniería social de 6 meses, infiltraron gradualmente a miembros del equipo de Drift y finalmente obtuvieron claves administrativas privilegiadas.
La situación de KelpDAO fue similar. Los atacantes explotaron una vulnerabilidad en la configuración de un único nodo validador del puente cross-chain LayerZero, falsificaron depósitos y acuñaron tokens sin garantía, robando 293 millones de dólares en 46 minutos. Posteriormente se descubrió que una solución de configuración de múltiples nodos validadores había sido recomendada anteriormente pero no se adoptó. El contrato auditado, una configuración defectuosa de la infraestructura, la pérdida aún ocurrió.
En aquellos protocolos que pasaron la auditoría, aunque se cubrió la corrección del código, fueron eludidos por los atacantes en la lógica de negocio y los procesos operativos.
Por otro lado, el alcance del escaneo de la IA tampoco se limita a nuevos protocolos. La empresa de seguridad Web3 GoPlus Security señala que los atacantes están utilizando tecnología de IA para explotar masivamente vulnerabilidades en contratos históricos desplegados hace años. El 9 de junio, un contrato de Ethereum desplegado hace 7 años, Token of Power, fue atacado, con pérdidas de unos 1,5 millones de dólares; el 25 de mayo, el contrato WUSD.fi, en funcionamiento durante 3 años, fue atacado, con pérdidas de unos 200.000 dólares; un antiguo contrato de Aztec Network desplegado hace 2 años fue atacado dos veces seguidas el 14 y 18 de junio, con pérdidas combinadas superiores a 4 millones de dólares. Esto indica que la validez protectora de los antiguos informes de auditoría puede haberse reducido a cero.
El mes pasado, Manuel Aráoz, cofundador de la empresa de seguridad criptográfica OpenZeppelin, declaró que ahora cree que "todo DeFi es inseguro" y que había recomendado a amigos y familiares salir de todas sus posiciones en DeFi, incluyendo Aave, MakerDAO y Compound. Su razonamiento es que la capacidad de los Agentes de programación de IA para encontrar vulnerabilidades ha alcanzado un nivel sobrehumano, mientras que la seguridad de los contratos inteligentes es estructuralmente muy asimétrica: el defensor debe parchear cada vulnerabilidad, el atacante solo necesita encontrar una entrada efectiva.
OpenZeppelin ha proporcionado servicios de auditoría a Aave, Compound, Uniswap, Coinbase, y es uno de los proveedores de infraestructura de seguridad de contratos inteligentes más importantes del sector cripto. Esta declaración, viniendo de ellos, tiene un peso inusual.
Sin embargo, el mercado también debate esto. Marc Zeller, colaborador del ecosistema Aave, mencionó que en las pérdidas de DeFi del último año, menos del 10% provenían de vulnerabilidades de código, el resto de errores de configuración de parámetros de riesgo, gestión inadecuada de garantías y debilidades de seguridad operativa. Michael Heinrich, CEO de 0G Labs, también señaló que la seguridad de los préstamos DeFi ha mejorado aproximadamente un 98% respecto al nivel de referencia de 2020.
El problema actual es que el alcance cubierto por la auditoría de código es cada vez más limitado, mientras que la superficie de ataque de los atacantes se expande continuamente. El antiguo marco de seguridad ya no puede proporcionar una respuesta convincente.
II. La respuesta y reestructuración de los proyectos y las firmas de auditoría
Aunque los antiguos estándares de auditoría muestran claras grietas frente a los ataques de IA, esto no significa que la demanda de auditoría desaparezca. Por el contrario, tanto los proyectos como las empresas de auditoría se ajustarán a la nueva realidad.
A corto plazo: liberación concentrada de la demanda de auditoría defensiva
Muchos protocolos destacados previamente auditados ahora enfrentan la presión de ser reauditados según los nuevos estándares de seguridad de la era de la IA. Los proyectos comienzan a darse cuenta de que, ante la mejora continua de las capacidades de ataque de la IA, el ciclo de protección de las auditorías tradicionales se está acortando.
La naturaleza de esta demanda es un gasto defensivo, no una señal de crecimiento saludable del sector. La firma de seguridad CertiK señaló en su informe regulatorio de 2026 que la auditoría de seguridad de contratos inteligentes está pasando de una mejor práctica del sector a un requisito de acceso regulatorio, convirtiéndose en un umbral obligatorio para la aprobación de licencias y la cotización de tokens.
A corto plazo, este gasto defensivo generará cierta demanda de auditoría, pero es más una inversión pasiva de los proyectos para reducir riesgos.
A largo plazo: diferenciación fundamental del modelo de negocio de las empresas de auditoría
Las firmas de auditoría también sienten la presión. Con la evolución continua de las herramientas de IA en el lado del ataque, las empresas líderes están acelerando el desarrollo de sus propias capacidades de detección. Varias firmas de auditoría principales han lanzado sistemas de auditoría asistidos por IA entre 2025 y 2026, mejorando la eficiencia mediante análisis paralelo de múltiples modelos y detección automatizada.
Mientras la eficiencia mejora, el modelo tradicional enfrenta presión. El valor comercial de la entrega puntual de informes de auditoría está disminuyendo. A largo plazo, las firmas que dependen de informes puntuales enfrentan riesgo de contracción en su volumen de negocio.
Analistas de JPMorgan señalaron claramente que los continuos incidentes de seguridad en DeFi están limitando la entrada de grandes inversores institucionales. Esto no es solo sentimiento del mercado, sino una cuestión pública sobre el valor de toda la industria de auditoría.
La plataforma de auditoría de contratos inteligentes Code4rena, conocida por su modelo de auditoría competitiva, anunció recientemente su cierre, transfiriendo clientes y recursos de investigadores a Immunefi. Esta plataforma recaudó 6 millones de dólares de Paradigm en 2023 y fue considerada un complemento poderoso al modelo de auditoría tradicional, cesando operaciones menos de dos años después de su adquisición.
Fuente de la imagen:RootData
El protocolo de préstamos DeFi Radiant, tras sufrir un ataque de hackers en octubre de 2024, tras 18 meses de esfuerzos aún no pudo recuperar los fondos, anunciando su fase de cierre. Ionic Protocol también anunció el cese inmediato de todas sus operaciones debido al impacto creciente de una vulnerabilidad de seguridad.
Sin embargo, el cambio no va solo en una dirección. La IA también muestra capacidades sobrehumanas en el lado defensivo; la cuestión es quién la usa primero.
La herramienta de auditoría nativa de IA Firepan reveló que, al realizar una auditoría independiente en abril de 2026 del nuevo contrato AMM de Curve Finance, descubrió una vulnerabilidad compuesta clave: cada propiedad por separado era código normal, pero bajo una combinación específica de operaciones, un atacante podría eludir el mecanismo de protección de donaciones y retirar fondos.
Curve había pasado previamente múltiples revisiones por seis firmas de auditoría independientes, considerado uno de los protocolos con mayor intensidad de auditoría en DeFi, pero esta vulnerabilidad aún se escondía en el punto ciego de las auditorías manuales.
Michael Egorov, fundador de Curve Finance, comentó después que la IA realmente ayuda en seguridad de contratos inteligentes. Sin embargo, también señaló que el éxito de la IA detectando vulnerabilidades en navegadores y kernels de Linux no puede aplicarse directamente a contratos inteligentes; estos suelen tener solo miles de líneas de código, tanto humanos como IA convencional pueden razonar suficientemente. El riesgo real del que hay que guardarse proviene más de filtraciones de claves a nivel OpSec y ataques a la cadena de suministro, que de vulnerabilidades de código en sí.
Casos similares también aparecieron en el ámbito de las monedas de privacidad. El ingeniero de seguridad Taylor Hornby, encargado por la organización sin ánimo de lucro Shielded Labs, utilizó el modelo Anthropic Opus 4.8 para auditar el protocolo Zcash, descubriendo una vulnerabilidad crítica en el pool de privacidad Zcash Orchard no detectada desde 2022, que teóricamente permitiría a un atacante acuñar ZEC falsos ilimitados e indetectables on-chain.
Zooko Wilcox, fundador de Zcash, agradeció públicamente a Anthropic. Hornby también indicó que ha añadido Monero (XMR) a la cola de auditoría y en el futuro realizará revisiones de seguridad a más proyectos de monedas de privacidad.
Se sabe que OpenZeppelin ha lanzado el sistema Skills, proporcionando a los Agentes de programación de IA conocimiento autorizado de bibliotecas de contratos inteligentes auditadas, trasladando la línea defensiva a la fase de desarrollo.
Esta es la nueva dirección a la que se ven obligadas las firmas de auditoría tradicionales: pasar de la revisión posterior a la integración continua, de la entrega puntual al monitoreo continuo, verificación formal y detección de riesgos en tiempo real on-chain.
Conclusión
En general, el sector de la auditoría de seguridad está experimentando una transición de un modelo de beneficios a un modelo competitivo. La IA acelera tanto la eficiencia del ataque como la mejora de los sistemas defensivos. Este proceso no solo afecta la forma comercial de las empresas de auditoría, sino que también exige a todo el ecosistema DeFi repensar la forma de invertir en seguridad.
Para los proyectos, la era de una auditoría para toda la vida ha terminado. La seguridad ya no es un trámite previo al lanzamiento, sino una infraestructura que requiere inversión continua.
Para las firmas de auditoría, seguir pasivamente a la IA ya no es suficiente. Los actores que puedan completar más rápidamente la reestructuración completa desde las herramientas hasta los modelos de servicio tienen más probabilidades de permanecer en la mesa en la siguiente fase.
