¿Los agentes de IA han hecho que todo el sector DeFi de 148.000 millones de dólares sea inseguro?
Una advertencia de una de las primeras figuras de seguridad de las finanzas descentralizadas (DeFi) ha convertido una difícil racha de hackeos en una prueba más amplia de cómo la industria puede defenderse contra la inteligencia artificial (IA).
El 27 de mayo, Manuel Aráoz, cofundador y ex director de tecnología de OpenZeppelin, aconsejó a los inversores que abandonaran sus posiciones en DeFi, incluida la exposición a protocolos de préstamos establecidos como Aave, MakerDAO y Compound.
Según Aráoz, los agentes de codificación de IA autónomos han ampliado la brecha entre atacantes y defensores al facilitar la búsqueda de vulnerabilidades a escala. Él escribió:
"Los agentes codificadores son sobrehumanos a la hora de encontrar vulnerabilidades, y la seguridad de los contratos inteligentes es demasiado asimétrica. Los defensores deben corregir todos los errores, mientras que los atacantes solo necesitan un exploit para robar fondos".
La advertencia ganó fuerza porque se produjo durante un período de presión para el mercado DeFi en general. Durante el año pasado, el sector perdió más de 1.100 millones de dólares debido a exploits, y en abril representaron 635 millones de dólares en 28 ataques reportados.
Estos incidentes de seguridad dieron como resultado que el valor total bloqueado en las finanzas descentralizadas cayera de aproximadamente 172 mil millones de dólares a mediados de abril a 148 mil millones de dólares al momento de esta edición, marcando cinco semanas consecutivas de salidas de capital. La caída también puede estar vinculada a una debilidad más amplia del mercado, que hizo que Bitcoin se acercara a los 72.000 dólares hoy.
Aún así, esas cifras han llevado el debate sobre la seguridad más allá de los protocolos individuales y hacia una cuestión más amplia de si la IA ha reducido el costo de atacar DeFi más rápido de lo que la industria puede mejorar sus defensas.
La IA abarata la búsqueda de debilidades
La advertencia de Aráoz se basa en el hecho de que la inteligencia artificial reduce fundamentalmente el costo y el esfuerzo necesarios para mapear las vulnerabilidades de los contratos inteligentes.
En los últimos años, los modelos avanzados de IA han introducido una inmensa presión al acelerar el descubrimiento de vulnerabilidades, las pruebas de exploits y el reconocimiento operativo a un costo casi nulo.
Una investigación reciente de la firma de capital riesgo a16z valida esta capacidad ofensiva acelerada al señalar que los agentes de IA han identificado consistentemente vulnerabilidades centrales en exploits históricos de DeFi.
Según la firma, incluso cuando los agentes no lograron completar un exploit, a menudo llegaron a la etapa que les da a los atacantes un punto de partida. Una herramienta que identifique de manera confiable los puntos débiles puede reducir la experiencia necesaria para iniciar un ataque.
Anthropic ha restringido de manera similar el acceso público a su modelo inédito Claude Mythos precisamente debido a su capacidad para descubrir y convertir de forma autónoma fallas de software en armas.
Para DeFi, este desarrollo es importante porque los sistemas de muchos protocolos son públicos, componibles y financieramente líquidos. Por lo tanto, el código, las estructuras de gobernanza y las integraciones que rodean una plataforma se pueden estudiar abiertamente para identificar cualquier vulnerabilidad.
La IA puede hacer que ese proceso sea más rápido y económico, aumentando la presión sobre los equipos cuyas defensas aún dependen en gran medida de auditorías, recompensas por errores y revisiones manuales.
Los líderes del protocolo apuntan a una infraestructura más sólida
Sin embargo, las preocupaciones sobre la IA han provocado el rechazo de los fundadores y las empresas de seguridad, quienes dicen que DeFi se ha vuelto más resistente que en ciclos anteriores.
La empresa de seguridad Blockchain OpenZeppelin argumentó que muchos incidentes de seguridad recientes se debieron a fallas operativas en lugar de fallas en el código de contrato auditado.
Según la empresa, las pérdidas más importantes de los últimos meses han estado relacionadas con el robo de claves privadas, la suplantación de puentes, la ingeniería social y problemas de control de acceso. Ese patrón sugiere que los atacantes a menudo se han dirigido a los sistemas relacionados con protocolos, incluidos equipos, permisos e infraestructura.
El fundador de Aave, Stani Kulechov, planteó un argumento similar. Dijo que la infraestructura DeFi hoy se beneficia de mejores motores de riesgo, estructuras de mercado de préstamos, verificación formal, auditorías, recompensas por errores, gestión de límites, mejoras de Oracle, monitoreo automatizado y disyuntores.
Kulechov dijo que gran parte de la superficie de ataque restante involucra fallas operativas al estilo Web2, incluidos controles internos y procesos de infraestructura débiles.
En particular, esa visión se alinea con la ola de exploits de abril, donde varias de las mayores pérdidas estuvieron relacionadas con claves comprometidas, ingeniería social y fallas relacionadas con puentes. Para ponerlo en contexto, la pérdida de 285 millones de dólares de Drift Protocol está ligada a una campaña de ingeniería social de seis meses del Grupo Lazarus de Corea del Norte.
El fundador de Uniswap, Hayden Adams, también rechazó la conclusión más amplia de que la propia DeFi se ha vuelto insegura.
Sostuvo que los contratos inteligentes bien construidos pueden respaldar aplicaciones con sólidas propiedades de seguridad, mientras que es probable que la IA exponga más rápidamente códigos débiles, lanzamientos apresurados y prácticas de desarrollo deficientes.
Esa distinción se ha vuelto central para la respuesta de la industria. El debate gira cada vez más en torno a qué sistemas cuentan con controles para resistir ataques asistidos por IA y cuáles permanecen expuestos debido a operaciones débiles, integraciones complejas o monitoreo limitado.
Los equipos de DeFi incorporan la IA a la pila de defensa
Mientras tanto, el pushba