Advertencia de un experto en auditoría de primer nivel: todos los DeFi son inseguros, ¡retiren rápido!

Odaily星球日报Publicado a 2026-05-28Actualizado a 2026-05-28

Resumen

"Considero que todos los DeFi son inseguros". Este contundente mensaje del fundador de OpenZeppelin, Manuel Aráoz, experto en seguridad de DeFi, ha sacudido la industria. Su advertencia se basa en el avance exponencial de la IA, que ahora permite a los atacantes identificar y explotar vulnerabilidades en contratos inteligentes en minutos, en lugar de semanas. Esto crea un juego desequilibrado: los defensores deben solucionar todos los fallos, mientras que a los hackers les basta con encontrar uno. La realidad respalda su preocupación. Abril y mayo de 2026 registraron una ola de ataques masivos, incluyendo pérdidas de cientos de millones en protocolos como Drift Protocol y Kelp DAO, y varios incidentes más en THORChain, Verus y otros. La IA actúa como un multiplicador de fuerza para los hackers, permitiendo escaneo ultrarrápido de código, generación automatizada de scripts de ataque y hasta ingeniería social. El equilibrio riesgo-recompensa en DeFi se ha roto. Con los rendimientos anuales de los protocolos más seguros reduciéndose a un solo dígito, los usuarios arriesgan perder el 100% de su capital por una ganancia potencial mínima. Ante esta asimetría, y con modelos de IA aún más potentes como Mythos en el horizonte, la recomendación de Aráoz es clara: para quienes no estén preparados para asumir pérdidas totales, retirar los fondos y asegurar las ganancias podría ser la opción más prudente.

Original | Odaily Planet Daily(@OdailyChina)

Autor | Azuma(@azuma_eth)

"Creo que todos los DeFi son inseguros."

Esta afirmación dejada ayer en X por Manuel Aráoz, fundador de OpenZeppelin, actuó como una bomba de profundidad, impactando una vez más en el mercado DeFi, que ya parecía un estanque estancado.

Manuel incluso afirmó que ya ha comenzado a aconsejar a amigos y familiares que retiren sus fondos de los principales protocolos DeFi, incluyendo protocolos considerados de bajo riesgo como Aave, MakerDAO y Compound.

Esto no es una exageración de alguien ajeno al tema. Al contrario, el propio Manuel es uno de los constructores centrales del sistema de seguridad DeFi, y OpenZeppelin es una de las principales empresas de auditoría de seguridad de la industria. Su biblioteca de contratos, estándares de seguridad y marcos de auditoría están presentes en casi todo el ecosistema DeFi.

La razón que llevó a Manuel a cambiar radicalmente de actitud es la IA. Manuel cree, con pesimismo, que la capacidad de los Agentes de Codificación con IA para identificar y explotar vulnerabilidades en contratos inteligentes está aumentando exponencialmente.

Esto significa que los problemas que antes requerían semanas de trabajo de equipos de seguridad de élite para descubrir, ahora pueden ser detectados por la IA en cuestión de minutos; los atacantes que antes necesitaban estudiar la lógica de un protocolo durante mucho tiempo, ahora pueden utilizar la IA para analizar de forma automatizada las rutas de ataque; la "transparencia" que antes era una ventaja para DeFi, ahora se ha convertido en el mejor conjunto de datos de entrenamiento para los atacantes.

Manuel también mencionó un problema aún más fatal: la seguridad de los contratos inteligentes es, en esencia, un juego extremadamente asimétrico. El lado de la defensa debe corregir todas las vulnerabilidades, mientras que el lado del ataque solo necesita encontrar una para poder robar los fondos. Con la IA potenciando exponencialmente la eficiencia del ataque, esta asimetría se está desequilibrando rápidamente.

La fría realidad: DeFi se ha convertido en un cajero automático para los hackers

Echando un vistazo a los incidentes de seguridad DeFi de los últimos meses, verás que la preocupación de Manuel no es exagerada.

Abril fue casi el peor mes en la historia de DeFi.

  • El 1 de abril, día de los inocentes, Drift Protocol fue vulnerado, perdiendo 280 millones de dólares debido al secuestro de permisos de administrador y una vulnerabilidad en la ejecución de firmas múltiples (ver "¿Una broma del día de los inocentes? Drift Protocol pierde más de 280 millones de dólares, convirtiéndose potencialmente en el segundo mayor incidente DeFi en Solana").
  • Posteriormente, el 19 de abril, Kelp DAO perdió 292 millones de dólares debido al compromiso de su protocolo puente (ver "DeFi vuelve a ser atacado por 292 millones de dólares, ¿incluso Aave es inseguro ahora?"). El atacante utilizó luego protocolos de préstamo como Aave para escapar, sumiendo a todo el sector DeFi en la sombra de las deudas incobrables y sus efectos secundarios.

Y al entrar en mayo, los incidentes no solo no disminuyeron, sino que se expandieron aún más.

  • 15 de mayo: THORChain sufrió un ataque. Un nuevo operador de nodos explotó una vulnerabilidad en el esquema de firmas umbral (TSS) GG20, reconstruyó la clave privada del tesoro y ejecutó directamente transacciones salientes, causando pérdidas por más de 10 millones de dólares.
  • 18 de mayo: El protocolo puente de Verus fue atacado. El atacante falsificó payloads de importación cross-chain, eludió la validación y extrajo activos de las reservas de Ethereum, robando aproximadamente 11.58 millones de dólares.
  • 19 de mayo: Echo Protocol en Monad fue atacado debido a una fuga de clave privada. El atacante acuñó 1000 eBTC (valorados en 76.7 millones de dólares) y extrajo los fondos a través de Curvance utilizando una ruta de ataque previamente probada.
  • 24 de mayo: StablR, un emisor de stablecoins regulado bajo el marco MiCA, fue atacado. Los hackers obtuvieron ganancias de más de 2.8 millones de dólares mediante la sobre-emisión de EURR y USDR, causando la desvinculación de estas monedas.
  • 25 de mayo: El módulo SquidRouter fue comprometido, resultando en el robo de aproximadamente 3 millones de dólares en activos de 86 carteras Gnosis Safe.
  • 27 de mayo: La clave privada del implementador de StakeDAO se filtró en Arbitrum. El atacante acuñó aproximadamente 5.45 billones de vsdCRV y convirtió parte de ellos en 43.7 ETH para fugarse.

La alta frecuencia de incidentes de seguridad ha hecho sonar la alarma. Parece que DeFi está fallando en todos los frentes, desde el código en cadena hasta la gestión fuera de cadena.

La IA se ha convertido en el arma nuclear de los hackers

¿Por qué la batalla defensiva/ ofensiva en DeFi ha colapsado aceleradamente este verano? Además de la evolución de las técnicas tradicionales de hacking, los avances vertiginosos en las capacidades de los modelos de IA están convirtiéndose en el factor definitivo que rompe el equilibrio.

En el pasado, encontrar una vulnerabilidad compleja en un contrato inteligente (especialmente aquellas que involucran lógica cross-chain, múltiples capas anidadas o reentradas extremadamente sutiles) requería que hackers de élite revisaran el código durante semanas o incluso meses. Sin embargo, con la madurez de los Agentes de IA equipados con contextos ultra-largos, fuerte razonamiento lógico y capacidad de usar herramientas de forma autónoma, esto ha cambiado cualitativamente.

  • Escaneo en segundos y búsqueda de "vulnerabilidades de día cero" en toda la red: Los atacantes solo necesitan alimentar los repositorios de código abierto a los nuevos modelos de IA de razonamiento, y la IA puede, en segundos, simular cientos de escenarios de interacción extremos como un experto en seguridad senior, identificando con precisión las condiciones límite que los auditores humanos pasan por alto cuando están fatigados.
  • Generación automatizada de scripts de ataque: La IA no solo puede encontrar vulnerabilidades, sino también escribir, probar y desplegar automáticamente los "contratos inteligentes de hacking" para extraer los fondos.
  • Orquestación perfecta de DevOps y ingeniería social fuera de cadena: La IA puede hacerse pasar por un desarrollador perfecto para realizar phishing o monitorear las 24 horas los commits en GitHub de los equipos DeFi. Una vez que un equipo sube código de reparación que contiene información sensible o no ha sido verificado, la IA lanzará un ataque en segundos, mucho más rápido que el tiempo de respuesta de un profesional de seguridad humano.

En esta guerra de seguridad potenciada por IA, los hackers, equipados con IA, tienen munición casi ilimitada y velocidad de ataque en segundos, mientras que DeFi está limitado por la lentitud de las votaciones de gobernanza, las confirmaciones de firmas múltiples y las auditorías de seguridad rezagadas, dificultando enormemente una respuesta defensiva correspondiente.

El mes pasado, Anthropic, la empresa detrás del modelo Claude, anunció oficialmente su nueva generación de modelo, Mythos (ver "Anthropic crea el modelo de IA más potente de la historia, pero no se atreve a lanzarlo..."). Es el primer modelo de la historia con un total de parámetros que supera los diez billones (en comparación, los principales modelos actuales tienen entre cientos de miles de millones y un billón de parámetros), con un coste de entrenamiento asombroso de 100 mil millones de dólares.

Sin embargo, debido a las capacidades especializadas de Mythos en ciberseguridad (Anthropic reveló que en solo unas pocas semanas usando Mythos identificaron miles de vulnerabilidades de día cero), la empresa incluso se abstuvo de lanzar el modelo públicamente de inmediato, por temor a un uso malicioso por parte de grupos de hackers. En su lugar, planean probarlo primero con grandes empresas a través de un programa "Glass Wing" para que parcheen vulnerabilidades potenciales de forma proactiva.

Si la situación de seguridad en DeFi ya es tan grave en la etapa actual, es difícil imaginar qué nuevas amenazas enfrentarán las defensas de la industria una vez que Mythos se lance públicamente.

El mayor problema: la relación riesgo/beneficio hace tiempo que está desequilibrada

Para los participantes comunes de DeFi, los proveedores de liquidez (LP) y las ballenas, el problema más importante ahora es sentarse y hacer cálculos.

Durante mucho tiempo, la razón por la que los usuarios eligieron depositar fondos en DeFi fue la búsqueda de tasas de rendimiento anualizadas varias veces superiores a las de las finanzas tradicionales. En los mercados alcistas o durante los períodos frenéticos de farming, rendimientos del 10%, 20% o incluso más eran suficientes para cubrir la expectativa psicológica de "riesgo tecnológico potencial".

Pero hoy, esta lógica fundamental ha sido cuestionada e incluso invertida. La relación riesgo/beneficio de DeFi está desequilibrada. En el lado de los beneficios, a medida que el mercado entra en una etapa de juego de suma cero y los colchones de seguridad se engrosan, el rendimiento real de la mayoría de los protocolos DeFi principales y relativamente confiables ha caído a un solo dígito. En el lado del riesgo, el capital principal de los usuarios está expuesto a una caja negra que puede ser violada por la IA en cualquier momento o vaciada instantáneamente por un flash loan. Una vez que un protocolo sufre un ataque, la desaparición de tokens o el vaciado de pools de liquidez suelen ocurrir en cuestión de minutos, sin que exista ningún respaldo legal, de seguros o de un banco central.

Arriesgar la pérdida del 100% del capital principal para obtener un rendimiento anual de alrededor del 5% claramente no es un buen negocio.

Las palabras de Manuel pueden sonar absolutas, pero arrancan el último velo de DeFi. Ante la realidad de que los hackers ya utilizan la IA como arma convencional y los incidentes de seguridad siguen estallando en la industria, si no estás preparado para la expectativa psicológica de perder el 100% de tu capital por un cierto rendimiento, entonces "retirar los fondos rápidamente y asegurar las ganancias" es quizás la opción más racional y que mejor se ajusta a los principios de gestión de riesgos en el ciclo de mercado actual.

Preguntas relacionadas

Q¿Quién es Manuel Aráoz y por qué su opinión sobre la seguridad de DeFi es relevante?

AManuel Aráoz es el fundador de OpenZeppelin, una de las principales empresas de auditoría de seguridad en el ecosistema DeFi. Su opinión es relevante porque su compañía establece estándares de seguridad y realiza auditorías para numerosos protocolos DeFi, por lo que tiene un conocimiento profundo de los riesgos y vulnerabilidades del sector.

QSegún el artículo, ¿cuál es la principal razón por la que Manuel Aráoz considera que todos los DeFi son inseguros ahora?

ALa principal razón es la capacidad exponencialmente mejorada de los agentes de IA (AI Coding Agents) para identificar y explotar vulnerabilidades en contratos inteligentes. Esto convierte el juego de seguridad, ya de por sí asimétrico (los defensores deben solucionar todos los fallos, los atacantes solo necesitan uno), en algo aún más desequilibrado a favor de los hackers.

Q¿Qué ejemplo del artículo ilustra cómo la IA se ha convertido en una herramienta poderosa para los hackers?

AEl artículo menciona el modelo Mythos de Anthropic, el primer modelo con parámetros que superan los diez billones, entrenado con un coste de 100.000 millones de dólares. En pocas semanas, este modelo identificó miles de vulnerabilidades de 'día cero'. Su potencia es tal que la empresa no se atreve a publicarlo por miedo a que sea mal utilizado, lo que subraya el riesgo que la IA avanzada supone para la ciberseguridad, incluyendo DeFi.

Q¿Por qué el artículo argumenta que la relación riesgo-beneficio en DeFi está desequilibrada actualmente?

AEl artículo argumenta que los rendimientos ofrecidos por los protocolos DeFi más seguros han bajado a niveles de un solo dígito (por ejemplo, alrededor del 5%). Mientras tanto, el riesgo de perder el 100% del capital principal debido a un hackeo (facilitado ahora por la IA) es muy alto y real. Por lo tanto, arriesgar la totalidad del capital por un beneficio relativamente bajo ya no es una opción financiera sensata para la mayoría de los usuarios.

Q¿Qué recomendación principal hace el artículo a los participantes comunes de DeFi (como proveedores de liquidez) en el contexto actual?

ALa recomendación principal del artículo, respaldada por la advertencia de Manuel Aráoz, es que los usuarios consideren seriamente retirar sus fondos de los protocolos DeFi ('retirar y asegurar las ganancias'). Esta se presenta como la opción más racional y prudente desde el punto de vista de la gestión de riesgos, dada la alta probabilidad de pérdida total del capital frente a unos rendimientos ya no tan atractivos.

Lecturas Relacionadas

¿Hacia dónde fluirá el valor encriptado en la era de los usuarios Agentes?

Títol original:Who Makes Money from Agents? L’article explora com els agents d’intel·ligència artificial (IA) podrien reconfigurar la captura de valor en l’ecosistema blockchain, qüestionant teories establertes com la dels «protocols grassos» i les «aplicacions grasses». Tradicionalment, aquests models assumien usuaris humans preocupats per la UX, la marca i la comoditat, permetent que les aplicacions capturin valor a través de la relació amb l’usuari. Els agents, però, funcionen de manera diferent: interactuen directament mitjançant APIs, sense lleialtat a la marca i poden canviar entre protocols i intercanvis amb cost gairebé zero. Això podria debilitar el valor del frontend i la relació amb l’usuari. Es plantegen diversos escenaris: 1. **Aplicacions sense cap (headless)**: Les aplicacions actuals (com carteres o agregadors) podrien oferir les seves capacitats com a API per a agents, convertint-se en infraestructura sense interfície. 2. **Reemergència dels protocols**: Si els agents integren protocols directament, el valor podria tornar a la capa de protocol. 3. **Compressió general dels marges**: La racionalitat i manca de fricció dels agents podrien forçar la competència per preus, comprimint els marges a tot l’stack fins al cost marginal. 4. **Nous tipus d’activitat**: Els agents podrien habilitar activitats noves i impossibles per a humans, com reequilibris continus de cartera o mercats basats en execució ultraràpida. L’article conclou que el futur probablement inclourà tant usuaris humans com agents, amb mapes de captura de valor diferents per a cada grup. La qüestió clau per als creadors és identificar què farà que un agent retorni al seu servei en lloc d’elegir una alternativa més barata: factors com liquiditat, latència, garantia de liquidació o models de negoci encara per inventar.

marsbitHace 40 min(s)

¿Hacia dónde fluirá el valor encriptado en la era de los usuarios Agentes?

marsbitHace 40 min(s)

Base MCP, el siguiente paso de X402

Base ha lanzado oficialmente Base MCP, permitiendo conectar cuentas de Base a agentes de IA para realizar operaciones como swaps, transferencias y consultas de historial mediante comandos de voz. Esto refleja el enfoque estratégico de Base en la IA, impulsado por la competencia en pagos entre agentes. En 2024, los pagos automatizados eran inseguros. Para 2025, Coinbase lanzó x402, proporcionando carteras cifradas a los agentes, mientras que gigantes como Google y Visa presentaron soluciones propias. x402 ya ha procesado 176 millones de transacciones, valoradas en más de 70 millones de dólares, destacando la importancia de las stablecoins como USDC para microtransacciones de bajo costo, donde las tarifas tradicionales son prohibitivas. Stripe también es un competidor clave, con su protocolo MPP, la blockchain Tempo, la cartera Privy y la infraestructura Bridge, creando un ecosistema similar al de Coinbase. El lanzamiento de Base MCP busca ampliar los casos de uso de pagos entre agentes en la capa de aplicación, consolidando la ventaja de Coinbase en este mercado emergente y preparando el terreno para su expansión comercial futura.

marsbitHace 47 min(s)

Base MCP, el siguiente paso de X402

marsbitHace 47 min(s)

Replanteando la valoración de Ethereum: ¿Por qué el modelo de tarifas es erróneo y la 'lógica de la tesorería' es el futuro?

**Reimaginando la valoración de Ethereum: ¿Por qué el modelo de tarifas está equivocado y la "lógica de la bóveda" es el futuro?** Autor: Tom Dunleavy El enfoque tradicional de valorar Ethereum como una empresa, usando sus tarifas como "ingresos", es erróneo. Las tarifas son una fricción; un éxito real sería reducirlas a cero. La clave es entender Ethereum no como una empresa, sino como una **bóveda** que protege activos (stablecoins, activos tokenizados, fondos en L2, etc.), actualmente por valor de ~$2500B. El **ETH es el candado** de esta bóveda. Con la Prueba de Participación (PoS), atacar la red requiere controlar una gran parte del ETH apostado (staked). El costo de un ataque está directamente vinculado al valor de mercado del ETH. Actualmente, el valor total del ETH apostado (~$720B) es mucho menor que el de los activos que protege (~$2500B). Esto representa una vulnerabilidad: la bóveda vale más que su candado. Para una seguridad sólida, el valor del ETH apostado debería superar significativamente el valor de los activos custodiados. Bajo este marco, el precio justo del ETH debería ser mucho más alto, alrededor de ~$6900, y aumentaría a decenas de miles si los activos en cadena crecen a billones. Comparar Ethereum con Linux o el DTCC es inexacto, ya que su seguridad no proviene de entidades externas (gobiernos, bancos), sino que se compra en el mercado abierto con su propio token (ETH). Por lo tanto, el ETH *debe* tener valor para garantizar la seguridad. Este modelo no se basa en tarifas, sino en la futura cantidad de valor que se liquidará en Ethereum y el requisito de seguridad correspondiente.

marsbitHace 51 min(s)

Replanteando la valoración de Ethereum: ¿Por qué el modelo de tarifas es erróneo y la 'lógica de la tesorería' es el futuro?

marsbitHace 51 min(s)

Sun Yuchen en entrevista exclusiva con 'Hurun Report': Nuevo orden y certeza en el flujo de valor durante un ciclo de transformación

En una entrevista con *Hurun Report*, Justin Sun, fundador de TRON, analizó la evolución de Web3 hacia la adopción a gran escala. Destacó que el núcleo de la tecnología blockchain es construir una Internet del valor abierta e inclusiva, permitiendo transferencias de fondos de bajo costo y alta eficiencia para cualquier persona en el mundo. Subrayó que las stablecoins, especialmente USDT en la red TRON (con un circulante superior a 863.000 millones de dólares), representan el caso de uso más maduro, impulsado por una demanda real en pagos transfronterizos. Sun atribuye el crecimiento al efecto de red y a la sustitución natural de los sistemas financieros tradicionales, limitados en eficiencia y costos. En cuanto a estrategia, enfatizó un enfoque basado en datos, ejecución rápida y orientación al usuario. La decisión de asociarse con Tether para lanzar USDT-TRC20 se presentó como un ejemplo clave de aprovechar una tendencia a largo plazo con alto potencial. Respecto a la globalización, señaló que el éxito depende de la adaptación a los marcos regulatorios locales y los hábitos de los usuarios. Finalmente, Sun consideró que la convergencia de la IA y la blockchain será crucial para la próxima fase de evolución tecnológica, recomendando a los emprendedores que se centren en construir ventajas centrales únicas en un entorno cambiante.

marsbitHace 1 hora(s)

Sun Yuchen en entrevista exclusiva con 'Hurun Report': Nuevo orden y certeza en el flujo de valor durante un ciclo de transformación

marsbitHace 1 hora(s)

Samsung depende del ciclo tecnológico, SK Hynix del HBM, ¿cómo ganó Micron el billón de dólares en valor de mercado?

## Resumen Ejecutivo Micron Technology, una de las tres principales fabricantes mundiales de chips de memoria DRAM junto a Samsung y SK Hynix, ha alcanzado recientemente una capitalización de mercado de un billón de dólares. Su trayectoria de supervivencia y crecimiento es singular. Fundada en 1978 en Boise, Idaho, sin el respaldo de políticas industriales estatales masivas, Micron ha navegado múltiples crisis cíclicas del sector mientras sus competidores estadounidenses desaparecían y la industria japonesa de memoria se contraía. **Estrategia de Supervivencia: Palanca Política y Eficiencia de Costes** La estrategia de Micron se ha basado en dos pilares interconectados: 1. **Uso de herramientas políticas y legales:** En momentos críticos (década de 1980, 2002, 2017), recurrió a denuncias por dumping, colaboración con autoridades antimonopolio y cabildeo para obtener ventajas o eliminar competidores, ganándose la etiqueta de "oportunista político". 2. **Control de costes de fabricación extremo:** Su ventaja fundamental reside en décadas de ingeniería que permiten chips DRAM con un área de celda más pequeña que la de sus rivales, generando más chips por oblea y menores costes unitarios. Esta eficiencia le permitió soportar las guerras de precios. **El Error Estratégico y sus Consecuencias en la Era de la IA** La adquisición en 2013 de la japonesa Elpida, centrada en DRAM para móviles, distrajo a Micron de la I+D en HBM (High Bandwidth Memory). SK Hynix, que lanzó el primer HBM en 2013, obtuvo una ventaja decisiva de una década. Con el boom de la IA (ej. ChatGPT), el HBM se volvió crucial. Para 2023, SK Hynix dominaba ~85% del mercado de HBM3, mientras Micron, con su lanzamiento tardío, apenas alcanzaba ~3%. **Triple Presión Actual** Micron enfrenta desafíos simultáneos: 1. **Alta gama (HBM):** Va por detrás en cuota de mercado y desarrollo (ej. HBM4) respecto a SK Hynix y Samsung. 2. **Gama media-baja (DRAM):** Su flujo de caja tradicional es erosionado por fabricantes chinos como CXMT, que expanden agresivamente su cuota con precios bajos. 3. **Mercado chino:** Las contra-sanciones chinas de 2023 prohibieron sus productos en infraestructuras críticas, reduciendo sus ingresos en China del 14% (2023) al 7.1% (2025 FY) y excluyéndolo del rápido despliegue de servidores AI en el país. **Conclusión: La Deuda del Tiempo** Aunque la combinación de palanca política y eficiencia de fabricación permitió a Micron sobrevivir, no pudo compensar la falta de visión temprana en HBM. Ahora, mientras intenta remontar en HBM3E y desarrolla HBM4, debe "pagar una deuda de tiempo" en una carrera donde sus competidores no se detienen. Su futuro depende de si puede convertir su reciente entrada en el mercado HBM en una capacidad de producción estable y rentable a largo plazo, superando una desventaja acumulada durante años en la tecnología clave de la era de la IA.

marsbitHace 1 hora(s)

Samsung depende del ciclo tecnológico, SK Hynix del HBM, ¿cómo ganó Micron el billón de dólares en valor de mercado?

marsbitHace 1 hora(s)

Trading

Spot
Futuros
活动图片

Categorías popularesright-arrow

Etiquetas Popularesright-arrow