En las últimas dos semanas, el sector de finanzas descentralizadas ha sufrido una de sus mayores pérdidas registradas. Durante el fin de semana, el puente restaked-ether de Kelp DAO fue explotado por $292 millones en un ciberataque, llevando las pérdidas totales en DeFi en abril a más de $580 millones. Combinado con un incidente anterior de $285 millones que involucró a Drift Protocol el 1 de abril, estas brechas a gran escala han desencadenado el pánico en el mercado. En respuesta inmediata, se retiraron más de $6 mil millones en activos de la plataforma Aave mientras los usuarios se apresuraban a proteger sus fondos, haciendo que el token AAVE cayera más del 18% durante el fin de semana.
Aave, Kelp DAO y respuesta de la industria
Aave es reconocido como uno de los mayores protocolos de préstamo y préstamo basados en Ethereum. Su fundador, Stani Kulechov, enfatizó que el reciente ataque no afectó directamente los contratos inteligentes de Aave. Sin embargo, la verdadera amenaza provino del colapso del mecanismo de soporte para rsETH—utilizado como garantía—que ocurrió fuera de Aave. En consecuencia, Aave quedó con aproximadamente $196 millones en deuda incobrable. Para mitigar el riesgo, varias plataformas, incluyendo SparkLend, Fluid y el servicio earnETH de Lido, detuvieron las transacciones vinculadas a rsETH o suspendieron nuevos depósitos.
Este ciberataque expuso una vulnerabilidad en uno de los pilares fundamentales de la seguridad blockchain: los sistemas de verificación cruzada. Los atacantes explotaron una elección de configuración, manipulando la capa de mensajería de LayerZero para inyectar un comando falsificado y acuñar 116,500 rsETH en Ethereum. Los expertos en seguridad advierten que en plataformas descentralizadas, donde cada proyecto selecciona sus propias redes de validadores, las configuraciones erróneas pueden propagarse fácilmente y amenazar el ecosistema más amplio.
Stephen Ajayi, líder del equipo de auditoría en la firma de seguridad blockchain Hacken, relató que “Una serie de intentos de ataque similares en múltiples contratos inteligentes, impulsados principalmente por análisis de código automatizados asistidos por IA, está ampliando rápidamente la superficie de amenaza.”
Ascenso de ataques impulsados por IA y desafíos de la industria
Hasta hace poco, el temor dominante en DeFi era que la automatización pudiera algún día superar al sistema. Ahora los expertos enfatizan que los atacantes ya han adoptado la automatización. Investigación de Anthropic a fines del año pasado mostró que modelos avanzados de IA como Claude Opus 4.5, Claude Sonnet 4.5 y GPT-5 de OpenAI probados en 405 contratos inteligentes explotados de 2020 a 2025 generaron $4.6 millones en escenarios de ataque activo. Estos modelos también analizaron vulnerabilidades en 2,849 contratos recién implementados, descubriendo nuevas formas de explotación a un costo mínimo.
Pruebas de seguridad realizadas por empresas como Cecuro revelan que agentes de seguridad especializados en IA encontraron vulnerabilidades en el 92% de los contratos inteligentes a través de protocolos DeFi, un contraste sorprendente con apenas el 34% encontrado por agentes de codificación estándar. Hoy en día, el escaneo de seguridad potenciado por IA promedio para un contrato inteligente cuesta solo alrededor de $1.22. La investigación muestra además que las capacidades de explotación se duplican cada 1.3 meses.
Brecha de seguridad creciente en el sector
El impacto de los ataques recientes en la capacidad de seguros en todo el sector también es notable. Si bien el mercado de seguros en cadena sigue limitado a varios cientos de millones de dólares, el valor total bloqueado en DeFi se acerca a los $100 mil millones. Las auditorías de contratos inteligentes están quedando atrás de las velocidades de implementación, y cada nueva integración introduce nuevos riesgos. Los reguladores, notablemente la Unión Europea, trabajan para mejorar la transparencia y exigir divulgaciones, pero no hay leyes que requieran auditorías continuas o simulaciones de ataques en tiempo real para protocolos importantes que resguardan grandes grupos de activos.
Simultáneamente, el nuevo modelo Claude Mythos Preview de Anthropic—aunque aún no se ha lanzado públicamente—ya ha descubierto miles de nuevas vulnerabilidades en sistemas operativos y navegadores principales. Este modelo lee y analiza proyectos DeFi a velocidad de máquina. Anthropic ha advertido que el lanzamiento público podría alterar drásticamente el equilibrio entre atacantes y defensores. Líderes de la industria y desarrolladores enfatizan cada vez más que cada nueva integración expande la superficie de ataque, pidiendo pruebas de seguridad persistentes y puntos segmentados de aceptación de riesgos.
Sigue siendo incierto cómo se llenará la brecha dejada por los ataques de Kelp DAO. Mientras algunos creen que se podría recuperar una parte del ether robado, la economía de los ataques y defensas en DeFi está cambiando rápidamente. Hoy en día, no se requiere un gran equipo o un presupuesto de seis cifras para un asalto efectivo; un atacante asistido por IA puede usar transacciones de solo unos pocos cientos de dólares para amenazar protocolos DeFi con rapidez.
