«Todo DeFi es inseguro»: la alarma IA de OpenZeppelin

A 1 de junio de 2026 no existe ningún hack de DeFi a escala atribuido a un agente de IA autónomo actuando como atacante. Y, sin embargo, el 26 de mayo Manuel Aráoz —cofundador de OpenZeppelin, la auditora de smart contracts más usada del mundo— escribió en X que «ahora considero todo DeFi inseguro». Su argumento no es que ya existan robos perpetrados por inteligencia artificial autónoma, sino algo más estructural: los agentes de codificación con IA (modelos que leen y escriben código de forma autónoma) son «superhumanos encontrando vulnerabilidades», y la seguridad de los contratos inteligentes (programas que se ejecutan solos en la blockchain y custodian el dinero) es «demasiado asimétrica: el defensor tiene que arreglar todos los fallos, mientras que al atacante le basta con un solo exploit para robar los fondos». Aráoz incluso declaró haber aconsejado a amigos y familia salir de Aave, MakerDAO y Compound. Este artículo separa lo verificable de lo proyectivo: cuantifica la asimetría que denuncia, repasa con cifras datadas el peor cuatrimestre de hacks de la historia de DeFi —más de 606 millones de dólares solo en abril, el 76 % del valor robado del año en apenas dos ataques de Corea del Norte según TRM Labs— y explica qué cambia operativamente, sin caer en el alarmismo que ha contagiado la cobertura de estos días.

¿Qué dijo exactamente el cofundador de OpenZeppelin?

El mensaje de Aráoz fue un «PSA» (aviso de servicio público) breve y rotundo, publicado el 26 de mayo y amplificado por la prensa especializada al día siguiente. La frase clave —«coding agents are superhuman at finding vulnerabilities»— sostiene que el cuello de botella histórico de un ataque a un protocolo (encontrar el fallo) está colapsando: lo que antes requería semanas de un auditor humano experto ahora un agente de IA lo puede hacer en horas, sobre cualquier código público.

Conviene precisar quién habla, porque la prensa lo ha simplificado. Aráoz cofundó OpenZeppelin en 2015 y fue su CTO, pero dejó la empresa en 2019: no ocupa ningún cargo actual. Su advertencia tiene peso por su trayectoria —escribió parte de las librerías de contratos que hoy usa medio Ethereum—, no porque represente la posición oficial de la compañía. De hecho, OpenZeppelin se distanció ante los medios: declaró que «las opiniones de Aráoz no representan la posición actual de OpenZeppelin», y su CEO y cofundador, Demian Brener, defendió que la respuesta correcta es seguridad continua aumentada por IA, no la retirada. No fue un comunicado formal en su blog corporativo, sino aclaraciones a la prensa.

Importa un matiz cronológico que varios medios han confundido: el marco «Four Layers of DeFi Risk» que OpenZeppelin publicó el 12 de mayo es anterior al post de Aráoz y no es una réplica a su cofundador. Quien lo presente como «la empresa contestó con un framework» se equivoca de fechas.

¿Por qué la superficie de ataque de DeFi es tan asimétrica?

La asimetría que denuncia Aráoz no es retórica: es la propiedad estructural de cómo funciona DeFi. Un smart contract desplegado tiene tres rasgos que, combinados, regalan ventaja al atacante.

Primero, el código es público. Cualquiera puede leer el bytecode en la blockchain, y la inmensa mayoría de protocolos serios publican además el código fuente verificado. El atacante no necesita filtrar planos ni sobornar a un empleado para ver cómo está construida la caja fuerte: la tiene abierta sobre la mesa, con los esquemas al lado.

Segundo, el código es inmutable o casi. Una vez desplegado, no se parchea como una aplicación móvil que empuja una actualización por la noche. Cambiarlo requiere mecanismos de gobernanza, claves de administración o contratos actualizables —que a su vez son superficie de ataque adicional—. El defensor llega tarde por diseño.

Tercero, el código custodia el dinero directamente. No hay una capa bancaria que congele una transferencia sospechosa a posteriori. Si el exploit funciona, los fondos salen en el mismo bloque y, con un puente cruzado de cadenas, se dispersan en minutos.

Sobre esos tres rasgos se monta la asimetría matemática: el defensor tiene que cerrar el cien por cien de los fallos posibles —los conocidos y los que aún no imagina—, indefinidamente; el atacante necesita encontrar exactamente uno. Es la misma lógica que en ciberseguridad clásica, con una diferencia brutal: aquí no hay parche de emergencia ni reversión de la transacción.

Lo que la IA cambia en esta ecuación no es la creatividad —los mejores exploits siguen requiriendo intuición sobre la lógica económica de un protocolo—, sino la escala y la velocidad de la auditoría ofensiva. El bucle es concreto y barato de operar: un coding agent extrae el código fuente verificado de un contrato vía la API pública de Etherscan, lo despliega sobre una bifurcación (fork) local de la cadena, ejecuta fuzzing simbólico —probar entradas generadas automáticamente para forzar estados inesperados— sobre cada función e itera sobre miles de contratos sin coste marginal por intento. No hay que sobornar a nadie ni filtrar planos: el material de partida es público y la máquina no se cansa. El defensor de un solo protocolo sigue avanzando a velocidad humana; el escaneo ofensivo masivo, no.

¿Cuánto se ha perdido realmente en DeFi en 2026?

Aquí está el dato duro que da credibilidad a la advertencia, al margen de la IA. Según CoinDesk, en los doce meses entre mayo de 2025 y mayo de 2026 se perdieron más de 1.100 millones de dólares en DeFi —una cifra que hay que leer como agregado periodístico, no como dato on-chain auditado de forma independiente—. Y el ritmo se ha disparado en 2026: 47 incidentes en los primeros cuatro meses y medio del año frente a 28 en el mismo periodo de 2025, un 68 % más, según CryptoTimes y Crowdfund Insider.

La distribución mensual cuenta una historia de aceleración violenta hacia abril:

Las cifras de enero a marzo son rangos porque las fuentes (DefiLlama, CryptoTimes) consolidan a ritmos distintos; el trimestre cerró en torno a 169 millones según DefiLlama. La lectura no está en el decimal exacto sino en la forma de la curva: tres meses contenidos y luego un abril que por sí solo multiplica por más de tres el trimestre entero. El correlato es una caída del TVL (valor total bloqueado en protocolos DeFi) de más de 20.000 millones de dólares en lo que va de año, según CoinDesk —no todo atribuible a hacks, pero la pérdida de confianza pesa—.

¿Quién está detrás de los grandes robos de abril?

Aquí es donde el relato de «la IA ya está atacando DeFi» se desmorona ante los hechos. Los dos mayores robos del año tienen autores humanos perfectamente identificados, y ninguno fue obra de un agente autónomo.

La prueba empírica más contundente la pone TRM Labs: Corea del Norte robó el 76 % de todo el valor hackeado en cripto en 2026 (hasta abril) con solo dos ataques —Drift el 1 de abril y Kelp DAO el 18 de abril, unos 577 millones de dólares combinados—. En palabras de TRM, esos dos golpes representan «el 3 % del recuento de incidentes de 2026 y el 76 % del valor robado». La concentración importa más que el porcentaje en sí: el problema de 2026 no es una nube difusa de IA autónoma escaneando contratos, sino un único actor estatal humano que mueve la aguja del año entero con dos operaciones cuidadosamente preparadas. Cualquier modelo de amenaza que ignore esto está mirando al sitio equivocado.

El hack de Kelp DAO (292 millones de dólares, 18 de abril) explotó el puente de LayerZero del protocolo. La causa no fue un fallo de lógica que una IA «descubriera»: fue una configuración insegura —un único verificador (DVN, Decentralized Verifier Network) en modo «1 de 1»— combinada con un ataque de denegación de servicio (DDoS) a los nodos RPC para cegar al protocolo durante la maniobra. El wETH quedó varado en una veintena de cadenas. Chainalysis y Halborn lo atribuyen a Lazarus, el grupo de Corea del Norte.

El hack de Drift Protocol (~285 millones, 1 de abril, sobre Solana) fue aún más analógico: según Chainalysis, meses de ingeniería social contra los firmantes del protocolo, rematada con un abuso de «durable nonces» (un mecanismo de Solana que permite firmar transacciones válidas indefinidamente). Chainalysis, TRM Labs y Elliptic lo atribuyen a actores de Corea del Norte. Paciencia humana, no velocidad de máquina.

El caso que más se acerca a la tesis de Aráoz es Step Finance (entre 27 y 40 millones de dólares según la fuente; protocolo cerrado el 24 de febrero de 2026). La secuencia importa: atacantes humanos comprometieron los dispositivos de ejecutivos del protocolo, obtuvieron así sus claves privadas y, una vez dentro, abusaron de los propios agentes de IA del protocolo —que tenían permisos de transferencia de fondos— como vector amplificador para mover el botín. BleepingComputer cifra el robo en 40 millones; Halborn, que reconstruyó el incidente, lo sitúa en torno a 30 millones a partir de los 261.854 SOL desviados. Es un matiz decisivo y exactamente el inverso del titular fácil: la IA fue una herramienta explotada tras un compromiso humano clásico, no un atacante autónomo. La pieza vulnerada fue la identidad de máquina con permisos excesivos, no un modelo que decidiera robar por su cuenta.

¿La IA ya está hackeando DeFi o todavía no?

A 1 de junio de 2026, no existe ningún hack de DeFi a escala atribuido a un agente de IA autónomo actuando como atacante. Quien afirme lo contrario está vendiendo titulares. Los grandes robos de 2026 son operaciones humanas —Lazarus a la cabeza— que en algunos casos usan IA como una herramienta más, igual que usan exploits, ingeniería social o DDoS.

Esto no debilita la advertencia de Aráoz: la fortalece al situarla en su sitio. Lo que él describe es una capacidad emergente, no un parte de bajas. Su tesis es que la barrera que históricamente protegía a los protocolos mediocres —que encontrar un fallo era caro y lento— está cayendo. Cuando auditar ofensivamente todo el código público de DeFi cueste poco y sea rápido, el inventario de fallos «económicamente no rentables de buscar» dejará de existir. La asimetría defensor-atacante, que siempre estuvo ahí, se vuelve insostenible para cualquier protocolo que no tenga seguridad de primera línea.

La honestidad sobre esta distinción es justamente lo que separa el análisis del clic fácil. El peligro es real y estructural; el «ya está pasando con IA» todavía es falso. Ambas cosas a la vez.

¿Debería un usuario salir de Aave o Compound por esto?

La respuesta corta: la posición de Aráoz es la de una persona privada que dejó la empresa en 2019, y la propia OpenZeppelin la matizó. Aave, MakerDAO (hoy Sky) y Compound son precisamente los protocolos con auditorías continuas más densas, mayores bug bounties (recompensas por reportar fallos) y mecanismos de pausa de emergencia del sector. No son el eslabón débil; son los blancos más caros de atacar.

Dicho esto, la advertencia tiene una lectura operativa sensata para cualquier usuario, sin pánico:

Salir corriendo de los protocolos más auditados para meter el capital en alternativas peor revisadas sería el peor desenlace posible de esta advertencia: exactamente el contrario al que apunta.

¿Qué hace seguro a un protocolo en 2026?

La respuesta más incómoda para la tesis del «atacante superhumano» es esta: los dos mayores hacks de 2026 no cayeron por una vulnerabilidad oculta que una IA tuviera que descubrir, sino por una decisión humana de configuración que ya estaba señalada. LayerZero había advertido explícitamente a Kelp del riesgo de operar el puente con un verificador en modo «1 de 1» —una sola DVN firmando, sin redundancia— antes del hack. No hizo falta un agente que escaneara miles de funciones: la puerta estaba marcada como insegura por el propio proveedor y se dejó abierta igualmente. La asimetría defensor-atacante no se pierde en la sofisticación del atacante; se pierde en la negligencia concreta del defensor.

Esto reordena la jerarquía de la defensa. Antes de la pila de capas va la disciplina de no ignorar las advertencias que ya tienes sobre la mesa. Y la economía de la defensa, cuando se hace bien, es cuantificable: el programa de bug bounty de Aave en Immunefi paga hasta 1.000.000 de dólares por un fallo crítico reportado. Esa cifra es la palanca clave —si recompensar el reporte de un fallo resulta más rentable que explotarlo, la economía del atacante se invierte y los buscadores (humanos y, cada vez más, asistidos por IA) trabajan para el defensor—. Sobre esos dos cimientos —no ignorar advertencias, pagar por los fallos— se monta el resto:

• Auditoría continua, no puntual. Una auditoría de hace dos años sobre un protocolo que ha cambiado diez veces no vale nada. Los protocolos serios auditan cada cambio y mantienen monitorización on-chain en tiempo real.
• Mecanismos de pausa. La capacidad de congelar el contrato ante un comportamiento anómalo es lo único que convierte un robo de cientos de millones en uno de unos pocos —siempre que se active a tiempo; en Kelp se cegó a los nodos RPC con un DDoS precisamente para impedirlo—.
• Configuración de puentes verificada. El caso Kelp en una línea: nunca operar un puente cruzado con un verificador único cuando el proveedor recomienda redundancia.
• Seguros on-chain. Coberturas como las de Nexus Mutual no impiden el hack, pero trasladan parte del riesgo y son una señal de que terceros independientes han evaluado el protocolo como asegurable.
• Permisos mínimos para las identidades de máquina. La lección de Step Finance: un agente de IA con permisos de transferencia es una bomba. El principio de mínimo privilegio aplica a los bots tanto como a las personas.

¿Qué queda como lección de esta advertencia?

La frase de Aráoz funciona como termómetro, no como sentencia. Y el termómetro real de 2026 apunta a un sitio muy distinto del que sugiere el titular: si Corea del Norte concentra el 76 % del valor robado del año en dos ataques, el riesgo dominante de DeFi hoy no está difuso en una IA autónoma que aún no existe, sino concentrado en un actor estatal humano con tiempo, paciencia y objetivos seleccionados a mano. El modelo de amenaza correcto para 2026 es Lazarus haciendo ingeniería social contra firmantes, no un modelo de lenguaje robando por su cuenta.

La ironía que defiende Brener, el CEO de OpenZeppelin, es coherente: la misma IA que amplifica al atacante puede ponerse a auditar de forma continua del lado del defensor. La pregunta abierta —y honestamente sin respuesta a día de hoy— es quién corre más rápido en esa carrera de escaneo, el que defiende un protocolo o el que escanea miles a la vez. Esa carrera todavía no se ha decidido, y fingir que ya la ganó el atacante es regalar miedo donde hace falta gestión de riesgo.

Lo proyectivo —que los agentes de codificación conviertan la asimetría defensor-atacante en insostenible al abaratar el escaneo ofensivo masivo— es plausible y merece tomarse en serio. Pero la conducta racional hoy no es huir de DeFi: es preferir protocolos que no ignoran las advertencias que ya tienen (la lección de Kelp), con defensa en profundidad y bug bounties grandes, minimizar la exposición en puentes, revocar permisos ociosos y desconfiar del rendimiento que sale de protocolos sin auditar. La asimetría siempre estuvo ahí; lo nuevo no es que la IA ya ataque, sino que el coste de explotarla está cayendo mientras el actor que más roba sigue siendo de carne y hueso.

Fuentes y enlaces: CoinDesk — Aráoz: «DeFi isn't safe anymore» · CoinDesk — Kelp DAO, 292 M$ · Chainalysis — Lecciones del hack de Drift · CryptoTimes — Abril 2026, peor mes · OpenZeppelin — Four Layers of DeFi Risk · CoinDesk — Caída de 20.000 M$ del TVL · TRM Labs — Corea del Norte, 76 % del valor robado en dos ataques · Halborn — El hack de Step Finance · BleepingComputer — Step Finance, dispositivos comprometidos y 40 M$