Saltar al contenido principal

Carrera armamentista de auditoría de contratos inteligentes por IA: La IA de seguridad especializada detecta el 92 % de los exploits de DeFi

· 9 min de lectura
Dora Noda
Dora Noda
Software Engineer

Por $ 1.22 por contrato, un agente de IA ahora puede escanear un contrato inteligente en busca de vulnerabilidades explotables — y las capacidades ofensivas de explotación se duplican cada 1.3 meses. Bienvenidos a la carrera armamentista más trascendental en las finanzas descentralizadas.

En febrero de 2026, OpenAI y Paradigm lanzaron conjuntamente EVMbench, un punto de referencia de código abierto que evalúa la eficacia con la que los agentes de IA detectan, parchean y explotan las vulnerabilidades de los contratos inteligentes. Los resultados fueron aleccionadores. GPT-5.3-Codex explotó con éxito el 72.2 % de los contratos vulnerables conocidos, frente al 31.9 % de hace apenas seis meses. Mientras tanto, un agente de seguridad de IA especializado detectó vulnerabilidades en el 92 % de 90 contratos de DeFi explotados por un valor de $ 96.8 millones — casi tres veces la tasa de detección del 34 % de un agente de codificación GPT-5.1 de referencia.

La implicación es clara: la batalla por la seguridad de DeFi se ha convertido en una competencia de IA contra IA, y la economía favorece abrumadoramente a los atacantes — por ahora.

El problema de $ 17 mil millones que el código por sí solo no puede resolver

La industria de las criptomonedas perdió 3.41milmillonesdebidoahackeosyexploitsen2025,seguˊnChainalysis.Peroesacifrasubestimaeldan~oreal.Cuandoseincluyenlasestafas,elfraudeylaingenierıˊasocial,laspeˊrdidastotalessedispararonaunestimadode3.41 mil millones debido a hackeos y exploits en 2025, según Chainalysis. Pero esa cifra subestima el daño real. Cuando se incluyen las estafas, el fraude y la ingeniería social, las pérdidas totales se dispararon a un estimado de 17 mil millones. Solo los hackers norcoreanos del Lazarus Group robaron 2.02milmillones,unaumentodel512.02 mil millones, un aumento del 51 % interanual que elevó su total histórico a 6.75 mil millones.

El incidente individual más devastador — el hackeo del exchange Bybit por $ 1.46 mil millones en febrero de 2025 — no fue un exploit de contrato inteligente en absoluto. Un malware engañó a la plataforma para que aprobara transacciones no autorizadas. Como informó CoinDesk, el peor año de las criptomonedas en cuanto a hackeos "no fue un problema de contratos inteligentes — fue un problema de personas".

Esta distinción es importante porque revela dos superficies de amenaza paralelas. Las vulnerabilidades de los contratos inteligentes siguen siendo peligrosas, pero la ingeniería social, el phishing y las estafas de suplantación de identidad están creciendo mucho más rápido. Las estafas habilitadas por IA fueron 4.5 veces más rentables que los métodos tradicionales en 2025, y el fraude por suplantación de identidad aumentó un 1,400 % interanual. Los correos electrónicos de phishing generados por IA ahora logran tasas de clics cuatro veces superiores a los mensajes creados por humanos.

En este contexto, la pregunta ya no es si la IA transformará la seguridad de blockchain. Es si la IA defensiva puede escalar lo suficientemente rápido como para igualar al bando ofensivo.

EVMbench: El punto de referencia que cuantificó la brecha

OpenAI y Paradigm diseñaron EVMbench en torno a 117 vulnerabilidades seleccionadas de 40 auditorías profesionales, incluidos varios escenarios del proceso de auditoría de seguridad de la blockchain Tempo. El benchmark evalúa tres capacidades: detectar vulnerabilidades, parchearlas y explotarlas de extremo a extremo.

Los resultados expusieron una paradoja. Los agentes de IA son mucho mejores atacando que defendiendo.

En el modo de explotación, GPT-5.3-Codex obtuvo un 72.2 %, más del doble del resultado del 31.9 % de GPT-5 de mediados de 2025. Pero el rendimiento cayó drásticamente en las tareas de detección y parcheo. En el modo de detección, los agentes tendían a detenerse después de encontrar una sola vulnerabilidad en lugar de auditar exhaustivamente la base de código. En el modo de parcheo, mantener la funcionalidad completa del contrato mientras se eliminaban vulnerabilidades sutiles resultó ser difícil de alcanzar.

OpenZeppelin auditó de forma independiente la metodología de EVMbench y encontró fallos críticos: al menos cuatro hallazgos de gravedad alta no válidos, preocupaciones por la contaminación de los datos de entrenamiento y lagunas metodológicas que podrían inflar el rendimiento reportado. El benchmark sigue siendo valioso como indicador direccional, pero la comunidad de seguridad advierte contra el tratamiento de sus puntuaciones como evaluaciones de grado de producción.

Por separado, el equipo de red team de Anthropic demostró que Claude Opus 4.5, Claude Sonnet 4.5 y GPT-5 desarrollaron colectivamente exploits por valor de $ 4.6 millones en contratos que se vieron comprometidos después de las fechas de corte de conocimiento de los modelos — lo que demuestra que estos agentes pueden identificar vulnerabilidades novedosas, no solo reproducir ataques conocidos.

La economía asimétrica de los ataques impulsados por IA

El hallazgo más alarmante de la investigación es económico, no técnico. A aproximadamente $ 1.22 por contrato para un escaneo de exploits impulsado por IA, el costo de sondear cada contrato inteligente en Ethereum se está acercando al umbral de cambio de bolsillo para los atacantes sofisticados.

Las matemáticas revelan un desequilibrio estructural. Los atacantes alcanzan el punto de equilibrio cuando los valores de los exploits son tan bajos como 6,000,asumiendounatasadevulnerabilidaddel0.16,000, asumiendo una tasa de vulnerabilidad del 0.1 % en los contratos escaneados. Los defensores, por el contrario, necesitan al menos 60,000 en pagos de recompensas por errores (bug bounty) o fondos recuperados para justificar el costo de un escaneo defensivo equivalente. Esta asimetría de diez a uno significa que la economía favorece naturalmente a la ofensiva.

Las auditorías tradicionales de contratos inteligentes agravan el problema. Los contratos más pequeños con lógica sencilla cuestan entre 10,000y10,000 y 25,000 para una auditoría manual, mientras que los protocolos complejos con componentes cross-chain o grandes bases de código pueden superar los 100,000a100,000 a 250,000. Estas auditorías tardan semanas o meses en completarse. Un agente de IA que se ejecuta a $ 1.22 por contrato puede escanear miles de contratos en el tiempo que le toma a un equipo humano revisar uno.

La curva de crecimiento de la capacidad de explotación empeora esta brecha con el tiempo. Con las capacidades de IA ofensiva duplicándose cada 1.3 meses, incluso los protocolos que eran seguros contra los agentes de IA del último trimestre pueden ser vulnerables a los modelos del próximo trimestre.

IA de seguridad especializada: El avance del 92 % en detección

No todos los agentes de IA funcionan igual. La tasa de detección del 92 % lograda por los agentes de seguridad especializados — que cubren 96.8millonesenvalordeexplotacioˊnrealen90contratosdeDeFieclipsoˊlatasadel34 96.8 millones en valor de explotación real en 90 contratos de DeFi — eclipsó la tasa del 34 % ( 7.5 millones) lograda por los agentes de codificación GPT-5.1 de propósito general.

La diferencia no provino de un modelo subyacente más potente. Provino de una metodología de seguridad específica del dominio aplicada sobre el mismo modelo base. Los agentes especializados incorporan invariantes específicos del protocolo, patrones de ataque conocidos (reentrada, manipulación de préstamos relámpago, abuso de oráculos) y requisitos de cobertura sistemática que los modelos de propósito general pasan por alto.

Este hallazgo conlleva una lección práctica: la brecha entre una auditoría de IA genérica y una especializada no es incremental — es aproximadamente tres veces mayor en la tasa de detección y trece veces mayor en el valor en dólares de las vulnerabilidades capturadas. Los protocolos que confían en herramientas de IA genéricas para la seguridad están operando con una falsa sensación de confianza.

La mejor práctica emergente es un modelo híbrido. Como lo describe el análisis técnico de DEV Community, "la auditoría de 2026 no está totalmente automatizada — es un experto humano guiado por un análisis de IA que cubre 10 veces más terreno en la mitad del tiempo". Los auditores expertos utilizan la IA para marcar posibles vulnerabilidades a escala, luego aplican el juicio humano para verificar los hallazgos, evaluar los riesgos de la lógica empresarial y validar las correcciones.

El Top 10 de OWASP para contratos inteligentes de 2026

El panorama de la seguridad está evolucionando lo suficientemente rápido como para que OWASP publicara su Top 10 de contratos inteligentes actualizado para 2026. La lista refleja el cambiante modelo de amenazas:

  • Vulnerabilidades de control de acceso: Siguen siendo la categoría principal, responsable de la mayoría de los exploits de alto valor.
  • Manipulación de oráculos y ataques de préstamos relámpago (flash loans): Continúan amenazando los protocolos DeFi que dependen de feeds de precios externos.
  • Debilidades en puentes cross-chain: Han surgido como una preocupación principal, con hackeos de puentes que representan miles de millones en pérdidas acumuladas.
  • Errores de lógica en los mecanismos de gobernanza: Son cada vez más el objetivo a medida que las DAO gestionan tesorerías más grandes.

Cabe destacar que la lista de 2026 añade una nueva categoría para superficies de ataque específicas de IA — reconociendo que los protocolos que integran agentes de IA para el trading automatizado, la gestión de riesgos o la gobernanza ahora se enfrentan a riesgos de inyección de prompts, manipulación de modelos y comportamientos sincronizados que no existían hace dos años.

Qué significa esto para el ecosistema DeFi

La carrera armamentista entre la IA ofensiva y defensiva crea varias implicaciones prácticas.

Para los desarrolladores de protocolos: Una única auditoría antes del despliegue ya no es suficiente. El monitoreo continuo con agentes de IA especializados, combinado con revisiones periódicas de expertos humanos, se está convirtiendo en la postura de seguridad mínima viable. Los programas de bug bounty deben acercarse al valor total del exploit para atraer a investigadores defensivos antes de que los atacantes encuentren las mismas vulnerabilidades.

Para inversores y usuarios: La brecha entre los protocolos que invierten en seguridad aumentada por IA y los que confían únicamente en auditorías tradicionales se ampliará. El gasto en seguridad se está convirtiendo en un indicador principal de la durabilidad de un protocolo.

Para el ecosistema en general: El costo de escaneo de $ 1.22 por contrato significa que, eventualmente, cada contrato inteligente desplegado será sondeado continuamente por agentes de IA — tanto ofensivos como defensivos. La pregunta es qué bando construye primero la cobertura más completa.

La carrera armamentista de auditoría de contratos inteligentes por IA no es un escenario futuro. Es la realidad presente de la seguridad en blockchain en 2026, y los protocolos que se adapten más rápido serán los que sigan en pie cuando el polvo se asiente.

A medida que la infraestructura de blockchain evoluciona junto con las herramientas de seguridad impulsadas por IA, el acceso confiable a nodos y los servicios de API se convierten en bases críticas para monitorear y proteger los activos on-chain. BlockEden.xyz ofrece servicios de RPC y API de grado empresarial en las principales cadenas, ayudando a los desarrolladores y equipos de seguridad a construir sobre una infraestructura diseñada para las demandas de un panorama de amenazas que cambia rápidamente.

Share on Twitter