Advertencia de un experto en auditoría de primer nivel: todos los DeFi son inseguros, ¡retiren rápido!

Odaily星球日报Publicado a 2026-05-28Actualizado a 2026-05-28

Resumen

"Considero que todos los DeFi son inseguros". Este contundente mensaje del fundador de OpenZeppelin, Manuel Aráoz, experto en seguridad de DeFi, ha sacudido la industria. Su advertencia se basa en el avance exponencial de la IA, que ahora permite a los atacantes identificar y explotar vulnerabilidades en contratos inteligentes en minutos, en lugar de semanas. Esto crea un juego desequilibrado: los defensores deben solucionar todos los fallos, mientras que a los hackers les basta con encontrar uno. La realidad respalda su preocupación. Abril y mayo de 2026 registraron una ola de ataques masivos, incluyendo pérdidas de cientos de millones en protocolos como Drift Protocol y Kelp DAO, y varios incidentes más en THORChain, Verus y otros. La IA actúa como un multiplicador de fuerza para los hackers, permitiendo escaneo ultrarrápido de código, generación automatizada de scripts de ataque y hasta ingeniería social. El equilibrio riesgo-recompensa en DeFi se ha roto. Con los rendimientos anuales de los protocolos más seguros reduciéndose a un solo dígito, los usuarios arriesgan perder el 100% de su capital por una ganancia potencial mínima. Ante esta asimetría, y con modelos de IA aún más potentes como Mythos en el horizonte, la recomendación de Aráoz es clara: para quienes no estén preparados para asumir pérdidas totales, retirar los fondos y asegurar las ganancias podría ser la opción más prudente.

Original | Odaily Planet Daily(@OdailyChina)

Autor | Azuma(@azuma_eth)

"Creo que todos los DeFi son inseguros."

Esta afirmación dejada ayer en X por Manuel Aráoz, fundador de OpenZeppelin, actuó como una bomba de profundidad, impactando una vez más en el mercado DeFi, que ya parecía un estanque estancado.

Manuel incluso afirmó que ya ha comenzado a aconsejar a amigos y familiares que retiren sus fondos de los principales protocolos DeFi, incluyendo protocolos considerados de bajo riesgo como Aave, MakerDAO y Compound.

Esto no es una exageración de alguien ajeno al tema. Al contrario, el propio Manuel es uno de los constructores centrales del sistema de seguridad DeFi, y OpenZeppelin es una de las principales empresas de auditoría de seguridad de la industria. Su biblioteca de contratos, estándares de seguridad y marcos de auditoría están presentes en casi todo el ecosistema DeFi.

La razón que llevó a Manuel a cambiar radicalmente de actitud es la IA. Manuel cree, con pesimismo, que la capacidad de los Agentes de Codificación con IA para identificar y explotar vulnerabilidades en contratos inteligentes está aumentando exponencialmente.

Esto significa que los problemas que antes requerían semanas de trabajo de equipos de seguridad de élite para descubrir, ahora pueden ser detectados por la IA en cuestión de minutos; los atacantes que antes necesitaban estudiar la lógica de un protocolo durante mucho tiempo, ahora pueden utilizar la IA para analizar de forma automatizada las rutas de ataque; la "transparencia" que antes era una ventaja para DeFi, ahora se ha convertido en el mejor conjunto de datos de entrenamiento para los atacantes.

Manuel también mencionó un problema aún más fatal: la seguridad de los contratos inteligentes es, en esencia, un juego extremadamente asimétrico. El lado de la defensa debe corregir todas las vulnerabilidades, mientras que el lado del ataque solo necesita encontrar una para poder robar los fondos. Con la IA potenciando exponencialmente la eficiencia del ataque, esta asimetría se está desequilibrando rápidamente.

La fría realidad: DeFi se ha convertido en un cajero automático para los hackers

Echando un vistazo a los incidentes de seguridad DeFi de los últimos meses, verás que la preocupación de Manuel no es exagerada.

Abril fue casi el peor mes en la historia de DeFi.

  • El 1 de abril, día de los inocentes, Drift Protocol fue vulnerado, perdiendo 280 millones de dólares debido al secuestro de permisos de administrador y una vulnerabilidad en la ejecución de firmas múltiples (ver "¿Una broma del día de los inocentes? Drift Protocol pierde más de 280 millones de dólares, convirtiéndose potencialmente en el segundo mayor incidente DeFi en Solana").
  • Posteriormente, el 19 de abril, Kelp DAO perdió 292 millones de dólares debido al compromiso de su protocolo puente (ver "DeFi vuelve a ser atacado por 292 millones de dólares, ¿incluso Aave es inseguro ahora?"). El atacante utilizó luego protocolos de préstamo como Aave para escapar, sumiendo a todo el sector DeFi en la sombra de las deudas incobrables y sus efectos secundarios.

Y al entrar en mayo, los incidentes no solo no disminuyeron, sino que se expandieron aún más.

  • 15 de mayo: THORChain sufrió un ataque. Un nuevo operador de nodos explotó una vulnerabilidad en el esquema de firmas umbral (TSS) GG20, reconstruyó la clave privada del tesoro y ejecutó directamente transacciones salientes, causando pérdidas por más de 10 millones de dólares.
  • 18 de mayo: El protocolo puente de Verus fue atacado. El atacante falsificó payloads de importación cross-chain, eludió la validación y extrajo activos de las reservas de Ethereum, robando aproximadamente 11.58 millones de dólares.
  • 19 de mayo: Echo Protocol en Monad fue atacado debido a una fuga de clave privada. El atacante acuñó 1000 eBTC (valorados en 76.7 millones de dólares) y extrajo los fondos a través de Curvance utilizando una ruta de ataque previamente probada.
  • 24 de mayo: StablR, un emisor de stablecoins regulado bajo el marco MiCA, fue atacado. Los hackers obtuvieron ganancias de más de 2.8 millones de dólares mediante la sobre-emisión de EURR y USDR, causando la desvinculación de estas monedas.
  • 25 de mayo: El módulo SquidRouter fue comprometido, resultando en el robo de aproximadamente 3 millones de dólares en activos de 86 carteras Gnosis Safe.
  • 27 de mayo: La clave privada del implementador de StakeDAO se filtró en Arbitrum. El atacante acuñó aproximadamente 5.45 billones de vsdCRV y convirtió parte de ellos en 43.7 ETH para fugarse.

La alta frecuencia de incidentes de seguridad ha hecho sonar la alarma. Parece que DeFi está fallando en todos los frentes, desde el código en cadena hasta la gestión fuera de cadena.

La IA se ha convertido en el arma nuclear de los hackers

¿Por qué la batalla defensiva/ ofensiva en DeFi ha colapsado aceleradamente este verano? Además de la evolución de las técnicas tradicionales de hacking, los avances vertiginosos en las capacidades de los modelos de IA están convirtiéndose en el factor definitivo que rompe el equilibrio.

En el pasado, encontrar una vulnerabilidad compleja en un contrato inteligente (especialmente aquellas que involucran lógica cross-chain, múltiples capas anidadas o reentradas extremadamente sutiles) requería que hackers de élite revisaran el código durante semanas o incluso meses. Sin embargo, con la madurez de los Agentes de IA equipados con contextos ultra-largos, fuerte razonamiento lógico y capacidad de usar herramientas de forma autónoma, esto ha cambiado cualitativamente.

  • Escaneo en segundos y búsqueda de "vulnerabilidades de día cero" en toda la red: Los atacantes solo necesitan alimentar los repositorios de código abierto a los nuevos modelos de IA de razonamiento, y la IA puede, en segundos, simular cientos de escenarios de interacción extremos como un experto en seguridad senior, identificando con precisión las condiciones límite que los auditores humanos pasan por alto cuando están fatigados.
  • Generación automatizada de scripts de ataque: La IA no solo puede encontrar vulnerabilidades, sino también escribir, probar y desplegar automáticamente los "contratos inteligentes de hacking" para extraer los fondos.
  • Orquestación perfecta de DevOps y ingeniería social fuera de cadena: La IA puede hacerse pasar por un desarrollador perfecto para realizar phishing o monitorear las 24 horas los commits en GitHub de los equipos DeFi. Una vez que un equipo sube código de reparación que contiene información sensible o no ha sido verificado, la IA lanzará un ataque en segundos, mucho más rápido que el tiempo de respuesta de un profesional de seguridad humano.

En esta guerra de seguridad potenciada por IA, los hackers, equipados con IA, tienen munición casi ilimitada y velocidad de ataque en segundos, mientras que DeFi está limitado por la lentitud de las votaciones de gobernanza, las confirmaciones de firmas múltiples y las auditorías de seguridad rezagadas, dificultando enormemente una respuesta defensiva correspondiente.

El mes pasado, Anthropic, la empresa detrás del modelo Claude, anunció oficialmente su nueva generación de modelo, Mythos (ver "Anthropic crea el modelo de IA más potente de la historia, pero no se atreve a lanzarlo..."). Es el primer modelo de la historia con un total de parámetros que supera los diez billones (en comparación, los principales modelos actuales tienen entre cientos de miles de millones y un billón de parámetros), con un coste de entrenamiento asombroso de 100 mil millones de dólares.

Sin embargo, debido a las capacidades especializadas de Mythos en ciberseguridad (Anthropic reveló que en solo unas pocas semanas usando Mythos identificaron miles de vulnerabilidades de día cero), la empresa incluso se abstuvo de lanzar el modelo públicamente de inmediato, por temor a un uso malicioso por parte de grupos de hackers. En su lugar, planean probarlo primero con grandes empresas a través de un programa "Glass Wing" para que parcheen vulnerabilidades potenciales de forma proactiva.

Si la situación de seguridad en DeFi ya es tan grave en la etapa actual, es difícil imaginar qué nuevas amenazas enfrentarán las defensas de la industria una vez que Mythos se lance públicamente.

El mayor problema: la relación riesgo/beneficio hace tiempo que está desequilibrada

Para los participantes comunes de DeFi, los proveedores de liquidez (LP) y las ballenas, el problema más importante ahora es sentarse y hacer cálculos.

Durante mucho tiempo, la razón por la que los usuarios eligieron depositar fondos en DeFi fue la búsqueda de tasas de rendimiento anualizadas varias veces superiores a las de las finanzas tradicionales. En los mercados alcistas o durante los períodos frenéticos de farming, rendimientos del 10%, 20% o incluso más eran suficientes para cubrir la expectativa psicológica de "riesgo tecnológico potencial".

Pero hoy, esta lógica fundamental ha sido cuestionada e incluso invertida. La relación riesgo/beneficio de DeFi está desequilibrada. En el lado de los beneficios, a medida que el mercado entra en una etapa de juego de suma cero y los colchones de seguridad se engrosan, el rendimiento real de la mayoría de los protocolos DeFi principales y relativamente confiables ha caído a un solo dígito. En el lado del riesgo, el capital principal de los usuarios está expuesto a una caja negra que puede ser violada por la IA en cualquier momento o vaciada instantáneamente por un flash loan. Una vez que un protocolo sufre un ataque, la desaparición de tokens o el vaciado de pools de liquidez suelen ocurrir en cuestión de minutos, sin que exista ningún respaldo legal, de seguros o de un banco central.

Arriesgar la pérdida del 100% del capital principal para obtener un rendimiento anual de alrededor del 5% claramente no es un buen negocio.

Las palabras de Manuel pueden sonar absolutas, pero arrancan el último velo de DeFi. Ante la realidad de que los hackers ya utilizan la IA como arma convencional y los incidentes de seguridad siguen estallando en la industria, si no estás preparado para la expectativa psicológica de perder el 100% de tu capital por un cierto rendimiento, entonces "retirar los fondos rápidamente y asegurar las ganancias" es quizás la opción más racional y que mejor se ajusta a los principios de gestión de riesgos en el ciclo de mercado actual.

Preguntas relacionadas

Q¿Quién es Manuel Aráoz y por qué su opinión sobre la seguridad de DeFi es relevante?

AManuel Aráoz es el fundador de OpenZeppelin, una de las principales empresas de auditoría de seguridad en el ecosistema DeFi. Su opinión es relevante porque su compañía establece estándares de seguridad y realiza auditorías para numerosos protocolos DeFi, por lo que tiene un conocimiento profundo de los riesgos y vulnerabilidades del sector.

QSegún el artículo, ¿cuál es la principal razón por la que Manuel Aráoz considera que todos los DeFi son inseguros ahora?

ALa principal razón es la capacidad exponencialmente mejorada de los agentes de IA (AI Coding Agents) para identificar y explotar vulnerabilidades en contratos inteligentes. Esto convierte el juego de seguridad, ya de por sí asimétrico (los defensores deben solucionar todos los fallos, los atacantes solo necesitan uno), en algo aún más desequilibrado a favor de los hackers.

Q¿Qué ejemplo del artículo ilustra cómo la IA se ha convertido en una herramienta poderosa para los hackers?

AEl artículo menciona el modelo Mythos de Anthropic, el primer modelo con parámetros que superan los diez billones, entrenado con un coste de 100.000 millones de dólares. En pocas semanas, este modelo identificó miles de vulnerabilidades de 'día cero'. Su potencia es tal que la empresa no se atreve a publicarlo por miedo a que sea mal utilizado, lo que subraya el riesgo que la IA avanzada supone para la ciberseguridad, incluyendo DeFi.

Q¿Por qué el artículo argumenta que la relación riesgo-beneficio en DeFi está desequilibrada actualmente?

AEl artículo argumenta que los rendimientos ofrecidos por los protocolos DeFi más seguros han bajado a niveles de un solo dígito (por ejemplo, alrededor del 5%). Mientras tanto, el riesgo de perder el 100% del capital principal debido a un hackeo (facilitado ahora por la IA) es muy alto y real. Por lo tanto, arriesgar la totalidad del capital por un beneficio relativamente bajo ya no es una opción financiera sensata para la mayoría de los usuarios.

Q¿Qué recomendación principal hace el artículo a los participantes comunes de DeFi (como proveedores de liquidez) en el contexto actual?

ALa recomendación principal del artículo, respaldada por la advertencia de Manuel Aráoz, es que los usuarios consideren seriamente retirar sus fondos de los protocolos DeFi ('retirar y asegurar las ganancias'). Esta se presenta como la opción más racional y prudente desde el punto de vista de la gestión de riesgos, dada la alta probabilidad de pérdida total del capital frente a unos rendimientos ya no tan atractivos.

Lecturas Relacionadas

Fundador de Cripto Predice que Esta Favorita Altcoin Superará a Solana, ¿Pero Hasta Dónde Llegará?

El cofundador de BitMEX, Arthur Hayes, predice que la altcoin Hyperliquid superará a Solana en capitalización de mercado antes del final del ciclo alcista actual. Hayes ha reiterado su objetivo de precio de $150 para el token HYPE, que espera alcanzar a principios de la segunda mitad del año. Hyperliquid, tras superar recientemente a Dogecoin, es ahora la novena criptomoneda más grande, con un valor de alrededor de $73 y una capitalización de mercado de $18 mil millones. Para superar a Solana, su capitalización debería superar los $48 mil millones. Hayes también desafió al defensor de Solana, Kyle Samani, a una apuesta benéfica de $100,000, afirmando que HYPE superará a cualquier otra criptomoneda líder hasta fin de año. Hyperliquid es actualmente el mejor desempeño entre las 10 principales criptomonedas, con una ganancia del 188% desde principios de año.

bitcoinistHace 2 hora(s)

Fundador de Cripto Predice que Esta Favorita Altcoin Superará a Solana, ¿Pero Hasta Dónde Llegará?

bitcoinistHace 2 hora(s)

El suministro de Ethereum se concentra más en carteras grandes, aquí están las cifras

La concentración de Ethereum (ETH) en manos de grandes tenedores está aumentando, ya que ballenas e inversores institucionales continúan comprando la segunda criptomoneda más grande a un ritmo agresivo. Datos on-chain recientes revelan que las carteras con al menos 100.000 ETH ahora poseen colectivamente 17,4 millones de tokens, lo que representa aproximadamente el 22,03% del suministro circulante, el nivel más alto en diez semanas. Esto sugiere una tendencia de acumulación renovada entre los grandes jugadores, incluso durante los descensos de precios. La actividad de las ballenas ha ido en aumento desde 2025, aprovechando la volatilidad del mercado para reforzar sus posiciones. Además, las reservas de ETH en exchanges continúan disminuyendo, lo que indica que los grandes tenedores están trasladando sus fondos a carteras frías para almacenamiento a largo plazo. Los datos muestran un fuerte aumento en las órdenes de compra y una ausencia virtual de órdenes de venta por parte de las ballenas en los últimos días, absorbiendo así el volumen de venta de los pequeños inversores. Un ejemplo destacado de esta confianza extrema es una ballena que abrió una posición larga apalancada de 25,6 millones de dólares en ETH, una jugada de alto riesgo que podría liquidarse con una caída modesta del precio. En conjunto, estos movimientos subrayan la creciente influencia de un pequeño grupo de grandes tenedores sobre el suministro de Ethereum.

bitcoinistHace 3 hora(s)

El suministro de Ethereum se concentra más en carteras grandes, aquí están las cifras

bitcoinistHace 3 hora(s)

Cardano fortalece la conectividad entre cadenas en el ecosistema blockchain: qué significa esto para la red

Cardano está logrando avances significativos en la conectividad entre cadenas, fortaleciendo su interoperabilidad con redes como Bitcoin, Ethereum, Solana y Avalanche. Esta mejora permite interacciones más fluidas para usuarios y desarrolladores, atrayendo más actividad y oportunidades hacia el ecosistema Cardano. El artículo destaca que la red se ha construido con una base sólida para garantizar seguridad, previsibilidad y resistencia, factores cruciales para los asentamientos financieros. Mientras tanto, el precio de ADA se encuentra en un momento crítico, probando un nivel de soporte clave en 0.247 dólares. Una ruptura de este soporte podría llevar al precio a buscar nuevos objetivos a largo plazo.

bitcoinistHace 3 hora(s)

Cardano fortalece la conectividad entre cadenas en el ecosistema blockchain: qué significa esto para la red

bitcoinistHace 3 hora(s)

El Movimiento de Ripple hacia la Privacidad: Cómo una Reorganización del Libro Mayor de XRP Afectará a la Red

El director de tecnología emérito de Ripple, David Schwartz, analizó cómo la red XRP Ledger (XRPL) podría responder ante una posible presión o ataque por parte de un actor estatal, como un régimen autoritario. Aunque reconoció que tales actores podrían causar interrupciones temporales, destacó que el daño a largo plazo sería limitado si la comunidad mantiene una respuesta activa. Schwartz explicó que, en caso de un ataque serio, el XRPL podría reorganizarse alrededor de una estructura de validadores más resistente. Propuso un posible modelo de consenso de dos capas: una capa interna para la operación diaria, con validadores fácilmente reemplazables si son atacados, y una capa externa que solo intervendría para modificar la lista de nodos únicos (UNL). Esta capa externa sería más ligera, operaría de forma intermitente y podría utilizar servicios de anonimización como Tor o I2P, lo que dificultaría su objetivo. Enfatizó que, dado que los validadores de Ripple representan menos del 20% de la red, un ataque concentrado en su infraestructura no comprometería el conjunto total de validadores. La supervivencia del XRPL dependería de la capacidad de la red para reemplazar operadores comprometidos, y solo sería crítica si los actores hostiles lograran disuadir por completo la ejecución de validadores.

bitcoinistHace 5 hora(s)

El Movimiento de Ripple hacia la Privacidad: Cómo una Reorganización del Libro Mayor de XRP Afectará a la Red

bitcoinistHace 5 hora(s)

NYDIG Afirma Que Una Transacción de $1.300 Millones en IBIT Revela Una Salida Urgente del ETF de Bitcoin

El 26 de mayo, se ejecutó una venta privada masiva de 29,21 millones de acciones del ETF de Bitcoin de BlackRock, IBIT, por valor de unos 1.260 millones de dólares. Según el análisis de NYDIG, los datos apuntan a que un gran tenedor direccional con una posición concentrada salió urgentemente del mercado, y no a un desmantelamiento de una operación de arbitraje (basis trade). El vendedor aceptó un descuento de 1,01 dólares por acción (un total de 29,5 millones) respecto al precio de mercado para asegurar la ejecución inmediata. La operación ocurrió en un contexto de flujos netos de salida en los ETF spot de Bitcoin en EE.UU. y de un deterioro técnico del precio de BTC. Los códigos y condiciones de la operación, junto con la ausencia de un volumen significativo correspondiente en futuros de CME, respaldan la tesis de una liquidación urgente. Aunque la identidad y motivación exacta del vendedor siguen sin conocerse, la transacción demuestra la disposición de un actor sofisticado a pagar una prima considerable por la velocidad de ejecución.

bitcoinistHace 6 hora(s)

NYDIG Afirma Que Una Transacción de $1.300 Millones en IBIT Revela Una Salida Urgente del ETF de Bitcoin

bitcoinistHace 6 hora(s)

Trading

Spot
Futuros
活动图片

Categorías popularesright-arrow

Etiquetas Popularesright-arrow