Los datos muestran que, hasta junio, el TVL de DeFi ha caído desde los aproximadamente 115.000 millones de dólares a principios de año hasta los aproximadamente 70.000 millones de dólares, una caída del 39%, prácticamente disminuyendo cada mes.
Al mismo tiempo, los incidentes de seguridad han ejercido otra presión sobre DeFi. Según las estadísticas, desde 2026 se han producido 121 ataques de hackers en el ámbito de DeFi, con pérdidas acumuladas de aproximadamente 942 millones de dólares. Solo en el segundo trimestre se registraron 85 incidentes, con pérdidas de 775 millones de dólares, convirtiéndose en el trimestre con más actividad de ataques dentro de ese período estadístico.
Con la popularización de las nuevas herramientas de IA, el costo y los requisitos de habilidad para encontrar vulnerabilidades en contratos inteligentes se han reducido drásticamente,las empresas de auditoría de seguridad se han visto obligadas a situarse en el centro de este cambio de paradigma.
I. La IA en el lado atacante: la antigua línea de defensa de seguridad está fallando
El colapso de la lógica antigua
Cuando la industria habla del impacto de la IA en el ámbito cripto, la primera reacción suele ser el trading cuantitativo, los asesores financieros inteligentes o el análisis de datos on-chain. Pero la realidad ha tomado una dirección que nadie esperaba: lo que la IA ha penetrado primero es lo que se consideraba el negocio más robusto de esta industria: la auditoría de seguridad.
Hace dos o tres años, las empresas de auditoría de seguridad eran consideradas por los inversores institucionales como activos conservadores para participar en el auge de la industria cripto. La lógica era simple y directa: cada vez que se lanzaba un nuevo protocolo, necesitaba una auditoría; cuanto más próspera fuera la industria, mayor sería la demanda de auditorías; alto precio por cliente, ingresos estables, sin depender de la subida o bajada del precio de los tokens.
Los datos de Immunefi muestran que las pérdidas de los protocolos DeFi por ataques de hackers cayeron un 74% desde un pico de 26.200 millones de dólares en 2022, hasta unos 6.800 millones de dólares en 2025. Los ataques a puentes entre cadenas representaron un 73% del total de pérdidas en DeFi en 2022, pero cayeron drásticamente al 3% en 2025. La industria creía ampliamente que la continua maduración de las auditorías de seguridad estaba desempeñando un papel.
Sin embargo, esta suposición se ha ido desmintiendo gradualmente.
El 9 de junio, Anthropic lanzó el nuevo modelo de IA Claude Mythos. Inmediatamente surgió en el mercado una opinión: el aumento anormal en la frecuencia de ataques a protocolos líderes recientemente podría estar relacionado con la continua mejora de las capacidades de los modelos de IA de vanguardia.
Simon Dedic, fundador de Moonrock Capital, señaló que, con la popularización de las nuevas herramientas de IA, el costo y los requisitos de habilidad para encontrar vulnerabilidades en contratos inteligentes caerán prácticamente a cero, los protocolos no auditados se convertirán en objetivos, y las vulnerabilidades conocidas se replicarán continuamente.
Los datos de Chainalysis confirman esta tendencia: en los últimos seis meses, solo los ataques a contratos con código fuente no verificado públicamente causaron unas pérdidas de aproximadamente 36,7 millones de dólares. Los atacantes utilizan IA para ayudar a descompilar el bytecode original en busca de vulnerabilidades, los modelos de lenguaje grande ya pueden identificar patrones de vulnerabilidades a escala, escaneando sistemáticamente miles de contratos, incluyendo protocolos como Truebit, Aperture Finance y Ekubo.
El proceso completo del atacante, desde el descubrimiento hasta la ejecución, se está comprimiendo a un nivel de minutos. Los informes de auditoría tradicionales tienen una validez medida en meses. Esta diferencia de tiempo es la grieta estructural más letal del antiguo modelo de auditoría.
¿Auditado y aún así hackeado?
El principal objetivo de los ataques de hackers ya no son los pequeños protocolos de segunda o tercera línea. Drift Protocol es una de las principales plataformas de contratos perpetuos en Solana, cuyo contrato inteligente ha sido auditado en múltiples rondas por varias reconocidas agencias de seguridad. Sin embargo, una investigación de la agencia de seguridad TRM Labs mostró que los atacantes, a través de un ataque de ingeniería social de 6 meses, infiltraron gradualmente a miembros del equipo de Drift y finalmente obtuvieron las claves de administrador privilegiadas.
La situación de KelpDAO fue similar. Los atacantes explotaron una vulnerabilidad en la configuración de un solo nodo validador del puente entre cadenas de LayerZero, falsificaron un depósito y acuñaron tokens sin garantía, robando 293 millones de dólares en 46 minutos. Posteriormente se descubrió que una solución de configuración de múltiples nodos validadores había sido recomendada anteriormente, pero no fue adoptada. El contrato fue auditado y aprobado, pero la configuración de la infraestructura tenía un defecto, y la pérdida ocurrió de todos modos.
En esos protocolos auditados y aprobados, aunque cubrían la corrección del código, los atacantes eludieron la lógica empresarial y los flujos operativos.
Por otro lado, el alcance del escaneo de la IA no se limita a los nuevos protocolos. La empresa de seguridad Web3 GoPlus Security señala que los atacantes están utilizando tecnología de IA para explotar a gran escala vulnerabilidades en contratos antiguos desplegados hace años. El 9 de junio, un contrato de Ethereum desplegado hace 7 años, Token of Power, fue atacado, con pérdidas de aproximadamente 1,5 millones de dólares; el 25 de mayo, el contrato WUSD.fi, que llevaba operativo 3 años, fue atacado, con pérdidas de unos 200.000 dólares; un antiguo contrato desplegado hace 2 años por Aztec Network fue atacado dos veces consecutivas el 14 y 18 de junio, con pérdidas combinadas superiores a los 4 millones de dólares. Esto sugiere que la protección efectiva de los informes de auditoría antiguos podría haber caducado.
El mes pasado, el cofundador de la empresa de seguridad cripto OpenZeppelin, Manuel Aráoz, declaró que ahora considera que "todo el DeFi es inseguro", y dijo haber aconsejado a amigos y familiares que salieran de todas sus posiciones en DeFi, incluyendo Aave, MakerDAO y Compound. Su razonamiento es que la capacidad de los Agentes de programación con IA para encontrar vulnerabilidades ha alcanzado un nivel sobrehumano, mientras que la estructura de seguridad de los contratos inteligentes es extremadamente asimétrica: la parte defensora debe parchear cada vulnerabilidad, el atacante solo necesita encontrar un punto de entrada efectivo.
OpenZeppelin ha proporcionado servicios de auditoría a Aave, Compound, Uniswap y Coinbase, y es uno de los proveedores de infraestructura de seguridad para contratos inteligentes más importantes de la industria cripto. Que esta declaración venga de él tiene un peso diferente.
Sin embargo, el mercado también debate esto. Marc Zeller, colaborador del ecosistema Aave, mencionó que, en las pérdidas de DeFi del último año, menos del 10% se originaron en vulnerabilidades de código, el resto provino de errores en la configuración de parámetros de riesgo, gestión inadecuada de garantías y debilidad en la seguridad operativa. Michael Heinrich, CEO de 0G Labs, también señaló que la seguridad de los préstamos DeFi ha mejorado aproximadamente un 98% en comparación con el punto de referencia de 2020.
El problema ahora es que el alcance que puede cubrir la auditoría de código es cada vez más limitado, mientras que el ámbito de acción de los atacantes continúa expandiéndose. El antiguo marco de seguridad ya no puede proporcionar una respuesta convincente.
II. La respuesta y reestructuración de los proyectos y las agencias de auditoría
Aunque los antiguos estándares de auditoría muestran grietas evidentes frente a los ataques con IA, esto no significa que la demanda de auditoría vaya a desaparecer. Por el contrario, tanto los proyectos como las empresas de auditoría harán ajustes basados en la nueva realidad.
Corto plazo: Liberación concentrada de la demanda de auditoría defensiva
Muchos protocolos líderes que ya fueron auditados anteriormente ahora enfrentan la presión de ser auditados nuevamente bajo los nuevos estándares de seguridad de la era de la IA. Los proyectos empiezan a darse cuenta de que, en el contexto de las crecientes capacidades de ataque de la IA, el período de protección de las auditorías tradicionales se está acortando.
La naturaleza esencial de esta demanda es un gasto defensivo, no una señal de crecimiento saludable de la industria. La agencia de seguridad CertiK señaló en su informe regulatorio de 2026 que la auditoría de seguridad de contratos inteligentes está pasando de ser una mejor práctica de la industria a un requisito de acceso regulatorio, convirtiéndose en un umbral obligatorio para la aprobación de licencias y la cotización de tokens.
A corto plazo, este gasto defensivo generará cierta demanda de auditoría, pero es principalmente una inversión pasiva por parte de los proyectos para reducir riesgos.
Largo plazo: Diferenciación fundamental del modelo de negocio de las empresas de auditoría
Las agencias de auditoría también sienten la presión. Con la continua evolución de las herramientas de IA en el lado atacante, las empresas líderes están acelerando el desarrollo de sus propias capacidades de detección. Varias agencias de auditoría principales han lanzado sistemas de auditoría asistidos por IA entre 2025 y 2026, mejorando la eficiencia a través de análisis paralelos con múltiples modelos y detección automatizada.
Mientras mejora la eficiencia, el modelo tradicional enfrenta presión. El valor comercial de la entrega puntual de informes de auditoría está disminuyendo. A largo plazo, las agencias que dependen de informes puntuales enfrentan un riesgo de contracción en el volumen de negocio.
Analistas de JPMorgan señalaron claramente que los continuos incidentes de seguridad en DeFi están limitando la entrada de los principales inversores institucionales. Esto no es solo un sentimiento del mercado, sino una cuestión pública sobre el valor de toda la industria de auditoría.
La plataforma de auditoría de contratos inteligentes Code4rena, conocida por su modelo competitivo de auditoría, anunció recientemente su cierre, transfiriendo sus recursos de clientes e investigadores a Immunefi. Esta plataforma había recaudado 6 millones de dólares de Paradigm en 2023 y fue considerada en su momento como un complemento sólido al modelo de auditoría tradicional; cerró menos de dos años después de la adquisición.
Fuente de la imagen:RooData
El protocolo de préstamos DeFi Radiant, después de sufrir un ataque de hackers en octubre de 2024 y tras 18 meses de esfuerzos sin poder recuperar los fondos, anunció que entraría en una fase de cierre. Ionic Protocol, también debido al impacto creciente de una vulnerabilidad de seguridad, anunció el cese inmediato de todas sus operaciones.
Sin embargo, el cambio no va en una sola dirección. La IA también está mostrando capacidades sobrehumanas en el lado defensivo; la cuestión es quién las utiliza primero.
La herramienta de auditoría nativa de IA Firepan reveló que en abril de 2026, al realizar una auditoría independiente del nuevo contrato AMM de Curve Finance, descubrió una vulnerabilidad combinada crítica: cada propiedad individualmente era código normal, pero bajo una combinación específica de operaciones, un atacante podría eludir el mecanismo de protección de donaciones y retirar fondos.
Curve había sido sometido previamente a múltiples revisiones por seis agencias de auditoría independientes, y es considerado uno de los protocolos más intensamente auditados en DeFi, pero esta vulnerabilidad permaneció oculta en el punto ciego de las auditorías manuales.
Posteriormente, el fundador de Curve Finance, Michael Egorov, evaluó que, efectivamente, la IA es útil en la seguridad de contratos inteligentes. Sin embargo, también señaló que el éxito de la IA en la detección de vulnerabilidades en navegadores y en el kernel de Linux no puede aplicarse directamente a los contratos inteligentes, ya que estos suelen tener solo unos miles de líneas de código, que tanto humanos como IA convencionales pueden razonar plenamente. Los riesgos que realmente deben vigilarse provienen más de la filtración de claves en el nivel de seguridad operativa (OpSec) y de ataques a la cadena de suministro, que de vulnerabilidades de código en sí mismas.
Un caso similar se dio en el ámbito de las monedas de privacidad. El ingeniero de seguridad Taylor Hornby, comisionado por la organización sin fines de lucro Shielded Labs, utilizó el modelo Anthropic Opus 4.8 para auditar el protocolo Zcash, descubriendo una vulnerabilidad crítica en el pool de privacidad Zcash Orchard que no había sido detectada desde 2022, y que teóricamente permitiría a un atacante emitir de forma ilimitada ZEC falsos e indetectables en cadena.
Posteriormente, el fundador de Zcash, Zooko Wilcox, agradeció públicamente a Anthropic. Hornby también indicó que ya había añadido Monero (XMR) a la cola de auditoría y que en el futuro realizaría revisiones de seguridad para más proyectos de monedas de privacidad.
Se informa que OpenZeppelin ha lanzado un sistema llamado Skills, que proporciona a los Agentes de programación con IA conocimiento autorizado de bibliotecas de contratos inteligentes auditadas, trasladando la línea de defensa a la fase de desarrollo.
Esta es la nueva dirección a la que se ven forzadas las empresas de auditoría tradicionales: pasar de una revisión a posteriori a una integración en todo el proceso, de una entrega puntual a un monitoreo continuo, verificación formal y detección de riesgos en tiempo real en cadena.
Conclusión
En general, el sector de la auditoría de seguridad está experimentando una transición de un modelo de bonanza a un modelo de competencia. La IA no solo acelera la eficiencia de los ataques, sino que también impulsa la mejora de los sistemas defensivos. Este proceso no solo afecta la forma de hacer negocios de las empresas de auditoría, sino que también exige que todo el ecosistema DeFi reconsideré la forma de invertir en seguridad.
Para los proyectos, la era de una auditoría que otorgue tranquilidad de por vida ha terminado. La seguridad ya no es un trámite previo al lanzamiento, sino una infraestructura que requiere inversión continua.
Para las agencias de auditoría, seguir pasivamente a la IA ya no es suficiente. Los actores que puedan completar más rápidamente una reestructuración integral, desde las herramientas hasta el modelo de servicio, tienen más probabilidades de permanecer en la mesa de juego en la próxima fase.
