Después de Kelp, DeFi Enfrenta un Problema de IA que Aún No Ha Empezado a Valorar

Las finanzas descentralizadas acaban de tener su peor quincena que se recuerde. Una pérdida de $292 millones del puente de ether restakeado de Kelp DAO durante el fin de semana, tras la explotación del Drift Protocol de $285 millones el 1 de abril, ha llevado las pérdidas acumuladas de DeFi en abril a superar los $580 millones, y desencadenó una salida de $6 mil millones solo de Aave mientras los depositantes corrían hacia las salidas.

Bitcoin, por su parte, apenas se ha inmutado, cotizando cerca de $75,000 mientras se desarrollaba el contagio. Pero la compostura del sector enmascara un problema más profundo. El atacante de Kelp no rompió la criptografía ni encontró un zero-day en un smart contract. Explotaron una elección de configuración en un verificador entre cadenas, engañaron a la capa de mensajería de LayerZero para que aprobara una instrucción falsificada, y acuñaron 116,500 rsETH de la nada en Ethereum. Los contratos, como señaló un análisis post-mortem orientado a desarrolladores, no estaban rotos, la capa de verificación sí lo estaba. Esa distinción importa, porque la próxima clase de atacantes no necesitará los errores de configuración. Tendrán IA.

Aave cayó con las noticias, Fuente: BNC

Un período hostil y un margen cada vez más delgado

La imagen inmediata es fea. La explotación de Kelp es ahora el mayor hackeo de DeFi de 2026, superando a Drift por aproximadamente $7 millones. Pérdidas menores en CoW Swap, Zerion, Rhea Finance y Silo Finance han llenado las semanas intermedias. La empresa de seguridad blockchain Cyvers situó las pérdidas totales de cripto del primer trimestre en aproximadamente $482 millones; esa cifra ya está muy desactualizada. El valor total bloqueado de Aave cayó de $26.4 mil millones el 18 de abril a menos de $20 mil millones para la mañana del domingo en horario de trading de EE.UU., según DefiLlama, y el token AAVE perdió más del 18% durante el fin de semana mientras los depositantes intentaban salir mediante préstamos de los mercados de rsETH congelados.

Stani Kulechov, fundador de Aave, se apresuró a señalar que los propios contratos del protocolo no fueron comprometidos. Eso es cierto, y también es un consuelo frío: Aave aceptó rsETH como colateral, el respaldo de ese colateral se evaporó en un puente que Aave no controla, y unos $196 millones en deuda incobrable ahora están en el mayor prestamista de DeFi. Protocolos incluyendo SparkLend, Fluid y earnETH de Lido han suspendido los mercados de rsETH o pausado nuevos depósitos mientras determinan su exposición.

La lección más amplia que los constructores están extrayendo es estructural. La seguridad entre cadenas flexible y modular, donde los proyectos individuales eligen sus propios conjuntos de verificadores, puede colapsar en un único punto de falla si la configuración falla. "Observamos intentos de explotación repetidos e idénticos en múltiples contratos simultáneamente", dijo Stephen Ajayi, líder técnico de auditoría de dapp en la empresa de seguridad blockchain Hacken, a DL News a principios de este mes, describiendo un patrón que dijo era consistente con sondeos con scripts y agentes de contratos de DeFi.

Lo que la IA ya ha hecho en un laboratorio

El lenguaje de Ajayi importa. El temor en los círculos de seguridad de DeFi ya no es que los atacantes eventualmente automaticen. Es que ya lo han hecho, y que la economía de la carrera armamentista se ha invertido silenciosamente.

El equipo rojo de Anthropic publicó una investigación a finales del año pasado en la que modelos de frontera —Claude Opus 4.5, Claude Sonnet 4.5 y GPT-5 de OpenAI— se lanzaron sobre un benchmark de 405 smart contracts del mundo real previamente explotados entre 2020 y 2025. Los agentes produjeron colectivamente exploits funcionales por valor de $4.6 millones contra contratos que eran posteriores a sus fechas de corte de entrenamiento. Presionados más allá, los mismos modelos se dirigieron a 2,849 contratos recién desplegados sin vulnerabilidades conocidas y encontraron dos bugs novedosos, produciendo exploits por valor de $3,694 con un gasto de inferencia de $3,476. Los investigadores describieron el resultado como una prueba de concepto de que la explotación autónoma y rentable ahora es técnicamente factible.

Anthropic muestra que los modelos de IA están encontrando cada vez más exploits de DeFi, Fuente: Anthropic

Un benchmark separado de la empresa de seguridad de IA Cecuro, que cubre 90 contratos de DeFi explotados entre finales de 2024 y principios de 2026, encontró que un agente de seguridad construido especialmente detectó vulnerabilidades en el 92% de ellos, en comparación con el 34% para un agente de codificación de propósito general ejecutando el mismo modelo subyacente. El costo promedio de un escaneo impulsado por IA, según el estudio, es ahora de alrededor de $1.22 por contrato. La capacidad de explotación, por la misma medida, parece duplicarse aproximadamente cada 1.3 meses.

Ese es el número que debería preocupar a los asignadores. Un mercado en el que cada contrato activo que contiene fondos puede ser sondeado por centavos, por software que sigue mejorando, no es un mercado en el que una auditoría única antes del despliegue proporcione una protección significativa.

El modelo que Anthropic no venderá

El riesgo no es solo teórico, debido a lo que ya está dentro de los laboratorios. Claude Mythos Preview de Anthropic —presentado a principios de este mes y restringido a una coalición de aproximadamente 40 socios empresariales y gubernamentales verificados bajo el Proyecto Glasswing— ya ha identificado miles de zero-days previamente no detectados en todos los principales sistemas operativos y todos los principales navegadores, incluido un fallo de 27 años en OpenBSD que había sobrevivido a millones de escaneos previos. BNC detalló en su momento por qué esa capacidad es una preocupación más urgente para DeFi que el debate de larga duración sobre la computación cuántica: las bases de código de DeFi son de código abierto por diseño, lo que las convierte precisamente en el tipo de objetivo que los modelos de clase Mythos pueden leer de principio a fin a velocidad de máquina.

El encuadre propio de Anthropic es revelador. La compañía se negó a lanzar Mythos al público y la semana pasada lanzó un modelo comercial, Claude Opus 4.7, descrito explícitamente como "menos ampliamente capaz" en tareas de ciberseguridad que el sistema mantenido dentro de Glasswing. Eso es una concesión de que un lanzamiento público cambiaría el equilibrio atacante-defensor en la dirección equivocada.

Valorando la asimetría

La postura de seguridad de DeFi no se ha puesto al día. La capacidad de seguros en cadena sigue midiéndose en cientos de millones de dólares, frente a un sector con aproximadamente $100 mil millones en valor total bloqueado. El mercado de auditoría no puede mantener el ritmo del volumen de despliegues de contratos, y la composabilidad sigue ampliando la superficie que los defensores deben cubrir. Los reguladores, incluida la UE bajo MiCA, han comenzado a formalizar requisitos de divulgación, pero ninguno aún exige pruebas adversariales continuas o aplicación en tiempo de ejecución para protocolos de alto TVL.

Los constructores que vale la pena escuchar están convergiendo en la misma lista corta. Tratar cada actualización e integración como una nueva superficie de ataque. Hacer que las pruebas adversariales sean continuas en lugar de un hito de auditoría único. Segmentar límites de confianza para que un único compromiso —ya sea un verificador mal configurado, como en Kelp, o un exploit asistido por modelo mañana— no pueda propagarse a través del stack de préstamos. Y valorar la postura de seguridad en las decisiones de asignación de la manera en que los gestores de crédito valoran el riesgo de default.

Las consecuencias de Kelp se resolverán de una manera u otra. Algún porcentaje del ether robado puede recuperarse aún, y la reserva Umbrella de Aave puede verse obligada a absorber el déficit. Los depositantes eventualmente volverán. Lo que no se revertirá es la curva de costos. Por primera vez, un adversario capaz ya no necesita un equipo de investigación, un zero-day y un presupuesto de seis cifras para drenar un protocolo de DeFi. Necesitan unos pocos cientos de dólares de créditos de inferencia y una lista de objetivos.

La pregunta de la industria para el resto de 2026 es si sus defensas pueden aumentar más rápido que esa capacidad.