Saltar al contenido principal

Los agentes de IA acaban de explotar $550M en contratos inteligentes — y solo costó $1.22 por ataque

· 10 min de lectura
Dora Noda
Dora Noda
Software Engineer

Por 1,22 $ — menos que el precio de una taza de café — un agente de IA ahora puede escanear un contrato inteligente, identificar su vulnerabilidad y generar un exploit funcional. Este no es un escenario teórico de un whitepaper de seguridad. Es el resultado medido de SCONE-bench, el primer benchmark que evalúa la capacidad de los agentes de IA para explotar contratos inteligentes reales, publicado por investigadores de Anthropic y MATS Fellows a finales de 2025. A través de 405 contratos que fueron realmente explotados entre 2020 y 2025, diez modelos de IA de vanguardia produjeron colectivamente exploits listos para usar (turnkey) para 207 de ellos, generando 550,1 millones de dólares en fondos robados simulados.

Las implicaciones se extienden mucho más allá de un laboratorio de investigación. Los protocolos DeFi poseen colectivamente más de 100.000 millones de dólares en valor total bloqueado (TVL). Si la capacidad de exploit continúa duplicándose cada 1,3 meses — la trayectoria que muestran los datos de Anthropic —, las suposiciones de seguridad que sustentan las finanzas on-chain se están acercando a un punto de inflexión.

Dentro de SCONE-bench: El primer benchmark de exploits denominado en dólares

Los benchmarks tradicionales de seguridad de contratos inteligentes miden si una IA puede detectar una categoría de vulnerabilidad: reentrada (reentrancy), manipulación de oráculos o fallos de control de acceso. SCONE-bench adopta un enfoque fundamentalmente diferente.

Construido a partir del repositorio DefiHackLabs, incluye 405 contratos en Ethereum, BNB Smart Chain y Base que fueron realmente explotados en el entorno real entre 2020 y 2025. Cada prueba se ejecuta dentro de un contenedor Docker con una blockchain local bifurcada (forked) en el número de bloque exacto del exploit original, garantizando condiciones reproducibles.

El benchmark no pide a los modelos que clasifiquen un tipo de error. Les pide que roben dinero.

Los agentes interactúan con el entorno de sandbox a través del Model Context Protocol (MCP), lo que les da acceso a herramientas para leer el código fuente del contrato, consultar el estado on-chain y enviar transacciones. La métrica de evaluación es sencilla: el valor total en dólares de los fondos robados simulados. Este sistema de puntuación denominado en dólares hace que los resultados sean directamente comparables con la economía de los exploits del mundo real.

Cuando los investigadores liberaron diez modelos de IA líderes — incluyendo Claude Opus 4.5, Claude Sonnet 4.5, GPT-5 y otros —, los resultados fueron aleccionadores. Los modelos explotaron colectivamente el 51,11 % de los contratos del benchmark.

Solo Claude Opus 4.5 explotó 17 de los contratos que fueron vulnerados después de su fecha de corte de conocimiento de marzo de 2025, lo que representa 4,5 millones de dólares en valor simulado. Junto con Claude Sonnet 4.5 y GPT-5, los exploits posteriores a la fecha de corte alcanzaron los 4,6 millones de dólares, lo que demuestra que estos modelos pueden descubrir y explotar vulnerabilidades que nunca vieron durante su entrenamiento.

La economía de ataque de 1,22 $ que debería alarmar a todos los protocolos

La economía de la explotación impulsada por IA ha cruzado un umbral crítico. Probar GPT-5 contra 2.849 contratos de BNB Smart Chain recientemente desplegados costó un total de 3.476 unpromediode1,22— un promedio de 1,22 por contrato. A ese precio, un atacante podría escanear cada nuevo contrato desplegado en una red principal por calderilla.

Las ganancias de eficiencia se están acelerando. Al analizar cuatro generaciones de modelos Claude, Anthropic descubrió que la mediana de tokens necesarios para producir un exploit exitoso disminuyó en un 70,2 %. En términos prácticos, un atacante hoy obtiene 3,4 veces más exploits exitosos por el mismo presupuesto de cómputo que hace seis meses.

Quizás lo más alarmante: cuando los investigadores apuntaron a GPT-5 y Claude Sonnet 4.5 hacia esos 2.849 contratos recientemente desplegados — ninguno de los cuales tenía vulnerabilidades conocidas —, ambos agentes descubrieron de forma independiente dos errores de día cero (zero-day) previamente desconocidos y generaron las estrategias de ataque correspondientes.

El valor potencial de explotación de esos zero-days fue de 3.694 $. Pequeño para los estándares de DeFi, pero el principio importa enormemente: los agentes de IA no solo están replicando ataques conocidos. Están encontrando otros nuevos.

Durante el último año, los ingresos potenciales por exploits en el subconjunto de problemas del benchmark de 2025 se duplicaron aproximadamente cada 1,3 meses. Si esa trayectoria se mantiene, la ventana entre el despliegue de un contrato y la capacidad de una IA para crackearlo se está reduciendo rápidamente.

Del benchmark a la realidad: El incidente de Moonwell

El puente entre los benchmarks de investigación y las consecuencias en el mundo real se materializó el 17 de febrero de 2026, cuando el protocolo de préstamos DeFi Moonwell reveló una brecha de seguridad que resultó en pérdidas de aproximadamente 1,78 millones de dólares. La vulnerabilidad se rastreó hasta una configuración incorrecta del oráculo en código generado por IA; específicamente, código co-creado por Claude Opus 4.6.

El error técnico fue engañosamente simple. En lugar de multiplicar la tasa de cambio cbETH/ETH por el feed de precios ETH/USD, el código generado por IA utilizó la tasa de cambio bruta como si ya estuviera denominada en dólares. El resultado: el cbETH se cotizó a aproximadamente 1,12 enlugardesuvalorrealcercanoalos2.200en lugar de su valor real cercano a los 2.200, lo que desencadenó una cascada de liquidaciones rápidas.

El incidente de Moonwell se comenta ampliamente como el primer gran exploit de DeFi vinculado directamente al "vibe coding" — un enfoque de desarrollo que depende en gran medida del código generado por IA con una supervisión humana mínima. Esto cristaliza una doble amenaza: los modelos de IA están mejorando simultáneamente en la búsqueda de vulnerabilidades en los contratos existentes y en la introducción de otras nuevas cuando se utilizan de forma descuidada para el desarrollo.

La carrera armamentista defensiva: la IA como escudo, no solo como espada

La comunidad de seguridad no se ha quedado de brazos cruzados. En febrero de 2026, la firma de seguridad de contratos inteligentes Cecuro publicó un benchmark que mostraba que un agente de seguridad de IA diseñado específicamente detectó vulnerabilidades en el 92 % de 90 contratos DeFi explotados, lo que cubría 96.8millonesenvalordeexplotacioˊn.Encomparacioˊn,unagentedecodificacioˊnbaseGPT5.1queseejecutabaenelmismomodelosubyacentedetectoˊsoloel3496.8 millones en valor de explotación. En comparación, un agente de codificación base GPT-5.1 que se ejecutaba en el mismo modelo subyacente detectó solo el 34 % de las vulnerabilidades por un valor de 7.5 millones. La diferencia no provino de la capacidad bruta de la IA, sino de la metodología de seguridad específica del dominio aplicada sobre ella.

OpenAI y Paradigm lanzaron conjuntamente EVMbench, un marco de pruebas construido a partir de 120 vulnerabilidades seleccionadas en 40 auditorías profesionales. Diseñado para medir qué tan bien la IA puede entender y asegurar los contratos inteligentes, EVMbench se basa en competencias de auditoría abierta y en el propio proceso de auditoría Tempo de Paradigm, proporcionando una forma estandarizada de evaluar las capacidades defensivas de la IA.

Anthropic por su parte ha liberado SCONE-bench como código abierto, razonando que los atacantes ya tienen fuertes incentivos financieros para construir herramientas de explotación patentadas. Retener los benchmarks defensivos solo perjudicaría a los investigadores de seguridad legítimos. Al hacer público el benchmark de explotación, la empresa pretende permitir que todo el ecosistema de seguridad pruebe, itere y construya defensas más sólidas.

El patrón emergente es claro: los modelos de IA de propósito general son peligrosos cuando se dirigen a contratos inteligentes, pero los agentes de seguridad especializados — entrenados con experiencia en el dominio, conocimientos de verificación formal y herramientas específicas de seguridad — los superan significativamente de forma defensiva. La carrera es entre la capacidad ofensiva que mejora automáticamente con cada nueva generación de modelos y la capacidad defensiva que requiere una ingeniería deliberada e impulsada por expertos.

Lo que los equipos de protocolos deben hacer ahora

Los resultados de SCONE-bench y el incidente de Moonwell pintan una imagen clara de hacia dónde se dirige la seguridad de los contratos inteligentes. Varias estrategias defensivas se están volviendo innegociables:

  • Auditoría continua impulsada por IA: Las auditorías estáticas y únicas son insuficientes contra las amenazas que evolucionan con cada lanzamiento de modelo. Los protocolos necesitan un monitoreo de seguridad de IA continuo que esté a la altura del ritmo de las mejoras en la capacidad ofensiva.
  • Verificación de múltiples capas para el código generado por IA: El exploit de Moonwell demuestra que el código Solidity escrito por IA exige el mismo — o mayor — escrutinio que el código escrito por humanos. La validación automatizada de oráculos, la verificación formal y las pruebas adversariales deben ser el estándar para cualquier ruta de código que afecte la fijación de precios de los activos.
  • Modelado económico de los costos de ataque: A $ 1.22 por escaneo de contrato, el costo de explotación está ahora muy por debajo del umbral mínimo que cubren la mayoría de los programas de recompensas por errores (bug bounty). Los protocolos deben reevaluar su economía de seguridad, asegurando que los valores de las recompensas y la cobertura del seguro reflejen la nueva estructura de costos.
  • Benchmarking adversarial: Los equipos deben pasar sus contratos por SCONE-bench y marcos similares antes del despliegue, tratando las pruebas de explotación impulsadas por IA como parte del flujo de trabajo estándar de despliegue.
  • Defensa en profundidad con agentes especializados: La IA de propósito general no puede sustituir a los agentes de seguridad creados para un fin específico. La tasa de detección del 92 % del sistema especializado de Cecuro frente al 34 % del GPT-5.1 base subraya la importancia de las herramientas de seguridad específicas del dominio.

El punto de inflexión para la seguridad on-chain

Los datos son inequívocos. La capacidad de explotación de la IA contra los contratos inteligentes está creciendo exponencialmente — duplicando su potencial de ingresos cada 1.3 meses, mientras que el costo por ataque disminuye con cada generación de modelos. Los $ 550 millones explotados hoy en simulación presagian lo que podría suceder en la mainnet mañana si las medidas defensivas no mantienen el ritmo.

Pero las mismas capacidades de IA que permiten la explotación también impulsan las herramientas defensivas más sólidas que la industria haya tenido jamás. La cuestión no es si la IA remodelará la seguridad de los contratos inteligentes. Ya lo ha hecho. La pregunta es si los constructores, auditores y protocolos que despliegan más de $ 100 mil millones en activos on-chain adoptarán la defensa impulsada por IA con la misma urgencia con la que los atacantes están adoptando la ofensiva impulsada por IA.

La tasa de duplicación de 1.3 meses deja poco espacio para la complacencia.

BlockEden.xyz proporciona infraestructura de API de blockchain de grado empresarial en más de 20 redes, ayudando a los desarrolladores a construir sobre bases seguras con acceso confiable a nodos. Explore nuestro mercado de API para potenciar sus dApps con una infraestructura diseñada para durar.

Share on Twitter