58 publicaciones etiquetados con "Seguridad"

Una sola verificación de autorización faltante. Diecisiete días sin ser detectada. Setenta y ocho NFTs de primer nivel (blue-chip) — incluyendo piezas de Art Blocks, Doodles y Beeple — fueron drenados de carteras que nunca iniciaron una transacción. El exploit de Gondi del 9 de marzo de 2026 es una clase magistral sobre cómo las "funciones de conveniencia" pueden convertirse en superficies de ataque, y por qué el sector de préstamos de NFTs enfrenta desafíos de seguridad que las DeFi de tokens fungibles nunca tuvieron que confrontar.

El 12 de marzo de 2026, una sola transacción de Ethereum convirtió 50,4 millones de dólares en USDT en 327 tokens AAVE con un valor aproximado de 36.000 dólares. La pérdida no fue causada por un hackeo, un exploit o un error en un contrato inteligente. Todos los protocolos involucrados — Aave, CoW Swap, SushiSwap — funcionaron exactamente según lo diseñado. El usuario confirmó una advertencia de impacto en el precio del 99,9 % en un dispositivo móvil, marcó una casilla y vio cómo casi cincuenta millones de dólares se evaporaban en bots de MEV en menos de treinta segundos.

Este incidente es el fallo de UX más costoso en la historia de las DeFi y obliga a plantearse una pregunta incómoda: si los sistemas sin permisos (permissionless) que "funcionan según lo diseñado" pueden destruir tanto valor, ¿quién es responsable de evitarlo?

Ocho wei. Eso es aproximadamente 0.000000000000000008 de un token — una cantidad tan pequeña que no tiene un valor significativo en dólares. Sin embargo, el 3 de noviembre de 2025, un atacante convirtió errores de redondeo a esa escala en 128 millones de dólares en activos robados, vaciando los Composable Stable Pools de Balancer en nueve blockchains en menos de treinta minutos.

El exploit de Balancer V2 es ahora el mayor exploit DeFi multi-cadena de una sola vulnerabilidad en la historia. Eliminó el 52% del valor total bloqueado (TVL) de Balancer de la noche a la mañana, sobrevivió a más de diez auditorías de seguridad de las principales firmas de la industria y obligó a una cadena — Berachain — a ejecutar un hard fork de emergencia solo para recuperar los fondos. ¿La vulnerabilidad? Una sola línea de código que redondeaba en la dirección incorrecta.

Tomó menos de una hora. El 31 de enero de 2026, un atacante descubrió que una sola función de contrato inteligente en la infraestructura de puente de CrossCurve carecía de una verificación de validación crítica — y drenó sistemáticamente $ 3 millones a través de Ethereum, Arbitrum y otras redes antes de que nadie pudiera reaccionar. Sin sofisticados ataques de día cero. Sin compromiso de claves internas. Solo un mensaje fabricado y una llamada a una función que cualquiera en la blockchain podría realizar.

El incidente de CrossCurve es un crudo recordatorio de que los puentes cross-chain siguen siendo la superficie de ataque más peligrosa en las finanzas descentralizadas — y que incluso los protocolos que presumen de arquitecturas de seguridad de múltiples capas pueden colapsar cuando un solo contrato falla.

Los agentes de IA que pueden comerciar tokens de forma autónoma, reequilibrar posiciones DeFi y pagar por su propia computación suenan revolucionarios — hasta que uno recibe una inyección de prompts para enviar los ahorros de toda tu vida a un atacante. El marco de seguridad MCP Web3 recientemente publicado por Google Cloud aborda exactamente esta pesadilla, presentando un plan de nivel empresarial para asegurar a los agentes del Protocolo de Contexto de Modelo (MCP) que interactúan con las blockchains.

Aquí está lo que recomienda el marco, por qué es importante y cómo se compara con los enfoques de la competencia de Coinbase, Ledger y el estándar de pago emergente x402.

Una auditoría de seguridad señaló el vector de ataque exacto meses antes. El equipo lo descartó. El domingo, un atacante se llevó 3,7 millones de $.

Venus Protocol, la plataforma de préstamos dominante en BNB Chain con aproximadamente 1.470 millones de $en valor total bloqueado, sufrió un devastador exploit de manipulación de precios el 15 de marzo de 2026. El atacante apuntó a THE — el token nativo del exchange descentralizado Thena —, inflando su precio de 0,27$ a casi 5 $mediante un ciclo cuidadosamente orquestado de depósitos, préstamos y compras. El resultado: más de 3,7 millones de$ drenados en BTC, CAKE, USDC y BNB, con aproximadamente 2,15 millones de $ persistiendo como deuda incobrable irrecuperable.

Lo que hace que este ataque sea notable no es solo su escala, sino la paciencia detrás de él — y el hecho de que la vulnerabilidad estaba escondida a plena vista.

Cada semana de 2026, otra startup anuncia un "agente de IA autónomo" que puede operar con criptomonedas, gestionar posiciones de DeFi o gobernar DAOs. Pero aquí está la pregunta que nadie quiere responder: ¿por qué debería alguien confiar dinero real a un software?

La respuesta de la industria está convergiendo en un stack sorprendentemente elegante — Entornos de Ejecución Confiables (TEEs), registros de identidad on-chain y salvaguardas programables — que convierte el "confía en el agente" en "verifica al agente". En el transcurso de tres meses, Coinbase lanzó Agentic Wallets, MoonPay integró la firma de hardware Ledger para agentes de IA, y la Fundación Ethereum ratificó dos nuevos estándares (ERC-8004 y ERC-8183) que juntos forman el esqueleto de una capa de confianza nativa para máquinas. Este artículo mapea la arquitectura que está haciendo, silenciosamente, que los agentes autónomos sean financiables.

Un solo error de redondeo — una pérdida de precisión de menos de un centavo en la división de enteros de Solidity — drenó $ 128 millones de Balancer en nueve cadenas de bloques en menos de 30 minutos. Los pools habían estado activos durante años. Múltiples auditorías habían revisado el código. Nadie lo detectó. Este es el estado de la seguridad de DeFi en 2026: miles de millones de dólares protegidos por un paradigma que ha fallado demostrable y repetidamente.

Ahora, a16z crypto está proponiendo un replanteamiento radical. En su informe "Big Ideas" de 2026, la firma de capital de riesgo argumenta que la industria debe abandonar "el código es ley" — la creencia fundacional de que el código del contrato inteligente desplegado es la autoridad última — y reemplazarlo por "la especificación es ley", donde las propiedades de seguridad definidas matemáticamente se conviertan en el estándar exigible. El cambio podría remodelar fundamentalmente cómo se construyen, auditan y defienden los protocolos.

Cada agente de IA necesita una billetera. Pero, ¿quién tiene las llaves?

El 13 de marzo de 2026, MoonPay respondió a esa pregunta lanzando la primera plataforma de agentes de IA asegurada por un firmador de hardware Ledger, un movimiento que obliga a que cada transacción pase por un dispositivo físico donde las llaves privadas nunca tocan internet. En un mercado donde el 60–80 % del volumen de trading de criptomonedas global ya está impulsado por la IA y los agentes autónomos gestionan miles de millones en activos, la apuesta de MoonPay es que la arquitectura ganadora no es la que se mueve más rápido, sino aquella en la que los humanos todavía confían.

El problema clave que nadie resolvió​

La explosión de los agentes de IA en el mundo cripto de 2025–2026 creó una paradoja. Los agentes autónomos necesitan acceso a la billetera para operar, realizar puentes (bridge), hacer staking y pagar servicios. Pero el acceso a la billetera significa acceso a las llaves, y el acceso a las llaves significa confiarle al software todo lo que posees.

Antes de la integración de Ledger con MoonPay, la industria ofrecía dos opciones imperfectas:

• Autonomía total, seguridad cero. Entregar al agente tu llave privada o frase semilla. Puede actuar de forma instantánea, pero una sola vulnerabilidad —una inyección de prompts, una dependencia comprometida, una llamada de API maliciosa— vacía la billetera. En febrero de 2026, los ataques a la cadena de suministro dirigidos a dYdX a través de paquetes npm y Python comprometidos, vinculados al Lazarus Group, demostraron cuán real es esta amenaza.

• Seguridad total, autonomía cero. Mantener las llaves bloqueadas en almacenamiento en frío (cold storage) y aprobar cada transacción manualmente. Es seguro, pero anula por completo el propósito de los agentes autónomos. Te conviertes en el cuello de botella en un sistema diseñado para operar a velocidad de máquina.

La integración de Ledger con MoonPay introduce una tercera vía: estrategia autónoma, ejecución verificada por humanos. El agente de IA se encarga de la investigación, el análisis de portafolio, el enrutamiento de swaps y la construcción de operaciones. Pero cada transacción on-chain debe confirmarse físicamente en un dispositivo Ledger antes de ejecutarse. El agente es el cerebro; la billetera de hardware es el candado.

Cómo funciona realmente​

MoonPay Agents, lanzado inicialmente el 24 de febrero de 2026 como una herramienta de interfaz de línea de comandos (CLI), permite que los agentes de IA gestionen billeteras, ejecuten operaciones y transaccionen a través de múltiples blockchains. La actualización del 13 de marzo añade soporte nativo para el firmador Ledger, convirtiéndola en la primera billetera CLI con esta integración.

El flujo técnico es directo:

1. Conecta cualquier firmador Ledger (Nano S Plus, Nano X, Gen5, Stax o Flex) a través de USB a la CLI de MoonPay.
2. El agente detecta automáticamente las billeteras en todas las redes compatibles: Ethereum, Solana, Base, Arbitrum, Polygon, Optimism, BNB Chain y Avalanche.
3. El agente de IA construye las transacciones basándose en su lógica de estrategia.
4. Cada transacción se enruta al dispositivo Ledger para su verificación física y firma.
5. Solo después de que el usuario confirma en el dispositivo de hardware, se transmite la transacción.

La propiedad de seguridad crítica: las llaves privadas se generan y almacenan dentro del chip de elemento seguro de Ledger. Nunca salen del dispositivo, nunca tocan la memoria de la computadora host y nunca entran en el entorno de ejecución del agente de IA. El agente puede proponer cualquier acción, pero no puede ejecutarla sin la aprobación humana.

Disponible ahora en la versión 0.12.3 de MoonPay CLI en moonpay.com/agents.

El espectro de seguridad de los agentes​

El enfoque de MoonPay se sitúa en un extremo de un espectro de seguridad que la industria cripto está definiendo rápidamente. Cada actor principal ha tomado una posición diferente, y los compromisos (tradeoffs) revelan visiones fundamentalmente distintas sobre cómo deben interactuar los humanos y los agentes de IA.

Billeteras Agénticas de Coinbase: Custodia alojada con barandillas de seguridad​

Coinbase lanzó sus Billeteras Agénticas en febrero de 2026, construidas sobre computación multipartita (MPC). Cada acción es firmada por el agente usando MPC y registrada on-chain en Ethereum o Base. Los creadores conservan una llave administrativa de emergencia que puede congelar o recuperar fondos si se detecta un comportamiento malicioso.

El modelo prioriza la programabilidad. Los desarrolladores establecen límites de gasto, listas blancas de interacciones con contratos y barandillas de seguridad (guardrails) automatizadas. El agente opera dentro de límites definidos sin necesidad de una aprobación humana transacción por transacción. Es más parecido a darle a un empleado una tarjeta corporativa con límites de gasto que a requerir la firma de un gerente en cada compra.

Compromiso (Tradeoff): Las llaves se gestionan en la infraestructura alojada de Coinbase, no en un dispositivo físico que el usuario controle. Esto es conveniente para los desarrolladores que construyen sistemas autónomos, pero requiere confiar en la infraestructura de custodia de Coinbase.

Protocolo x402: Pagos entre máquinas totalmente autónomos​

En el extremo opuesto, el protocolo x402 de Coinbase permite pagos de máquina a máquina totalmente autónomos sin intervención humana alguna. Integrado directamente en la capa HTTP, x402 permite que los agentes de IA paguen por llamadas de API, créditos de computación y acceso a datos automáticamente usando USDC en Base.

Alchemy integró x402 en febrero de 2026, creando un flujo donde un agente de IA compra de forma independiente créditos de computación y accede a datos de blockchain sin ninguna intervención humana. El protocolo ha procesado más de 50 millones de transacciones en pruebas, aunque el volumen diario en el mundo real sigue siendo modesto, de aproximadamente 28 000 $, una señal de que la infraestructura va por delante de la adopción.

Compromiso (Tradeoff): Máxima velocidad y automatización, pero cero supervisión humana por transacción. Adecuado para micropagos y acceso a APIs, pero riesgoso para operaciones grandes o gestión de portafolios.

MetaMask: Claves de sesión y acceso limitado​

El enfoque de MetaMask utiliza claves de sesión — permisos temporales y delimitados que permiten a los agentes de IA realizar acciones específicas mientras los usuarios conservan la custodia total. Piense en ello como darle a un aparcacoches la llave de su coche, pero programándola para que solo pueda circular a menos de 25 mph y no pueda abrir el maletero.

Compromiso: Más granular que la aprobación de Ledger de "todo o nada" de MoonPay, pero las claves de sesión se basan en software, lo que las hace vulnerables a la misma clase de ataques que las billeteras de hardware están diseñadas para prevenir.

Dónde encaja MoonPay​

La integración de Ledger de MoonPay ocupa el extremo de máxima seguridad del espectro. Ninguna transacción se ejecuta sin presionar un botón físico. Esto la convierte en la opción más lenta para el trading de alta frecuencia, pero en la más resistente a los ataques basados en software, al compromiso de agentes y a las transacciones no autorizadas.

Como señaló el director de experiencia de Ledger: "Está surgiendo una nueva ola de billeteras centradas en agentes y CLI, y estas también necesitarán la seguridad de Ledger como una característica".

La pregunta de los $ 30 billones de dólares​

Lo que está en juego es enorme. Se proyecta que la economía de los agentes crecerá hasta los $30 billones de dólares para 2030, según estimaciones de la industria. Microsoft informó en febrero de 2026 que más del 80$ 4.300 millones de dólares, y los fondos cuantitativos de IA reportaron rendimientos promedio del 52 % en 2025, mientras que el 84 % de los traders minoristas perdieron dinero.

La cuestión no es si los agentes de IA gestionarán carteras de criptomonedas — ya lo hacen. La cuestión es qué arquitectura de seguridad se convertirá en el estándar institucional.

Tres modelos están compitiendo:

1. Hardware-in-the-loop (MoonPay + Ledger): Máxima seguridad, se requiere aprobación humana, ejecución más lenta
2. MPC alojado con protecciones (Coinbase): Límites programables, amigable para desarrolladores, se requiere confianza en la custodia
3. Totalmente autónomo (x402, Alchemy): Máxima velocidad, fricción cero, adecuado solo para transacciones de bajo valor

Para los usuarios minoristas que gestionan carteras personales, el hardware-in-the-loop puede ser ideal — la latencia de presionar un botón en un Ledger es irrelevante cuando se realizan unas pocas operaciones al día. Para las estrategias cuantitativas institucionales que ejecutan miles de operaciones por segundo, es inviable. Para los micropagos entre máquinas, la autonomía total es el único camino viable.

El resultado probable no es un único ganador, sino una pila de seguridad por capas. Los agentes de IA utilizarán pagos totalmente autónomos para llamadas API de menos de un dólar, billeteras aseguradas por MPC con límites de gasto para operaciones de rango medio y autorización firmada por hardware para transacciones de alto valor — de la misma manera que los humanos usan el pago sin contacto para el café, un PIN para las compras y un notario para bienes raíces.

Qué significa esto para los constructores​

El movimiento de MoonPay indica que la guerra de infraestructura de agentes de IA está entrando en su fase de diferenciación de seguridad. La primera ola se centró en la capacidad: ¿pueden los agentes operar, hacer puentes y realizar swaps? Eso está resuelto. La segunda ola se trata de la confianza: ¿pueden los usuarios e instituciones desplegar agentes sin arriesgarse a una pérdida catastrófica?

Para los desarrolladores que construyen agentes de IA en cadena, las conclusiones prácticas son:

• La arquitectura de seguridad es ahora un diferenciador de producto. Los usuarios elegirán plataformas de agentes basadas en cómo se gestionan las claves, no solo en qué estrategias pueden ejecutar los agentes.

• La seguridad multinivel es inevitable. Ningún modelo único sirve para todos los casos de uso. Construya con una gestión de claves modular que pueda admitir firmantes de hardware, MPC y claves de sesión dependiendo del valor de la transacción y el perfil de riesgo.

• El escrutinio regulatorio se avecina. A medida que los agentes de IA gestionen carteras más grandes, los reguladores preguntarán quién es responsable cuando un agente realiza operaciones no autorizadas. El hardware-in-the-loop crea una pista de auditoría clara: cada transacción tiene una firma verificada por un humano.

El punto de inflexión de la confianza​

La integración de Ledger de MoonPay no es un avance en la capacidad de la IA — los agentes en sí no se vuelven más inteligentes. Es un avance en la infraestructura de confianza que determina si esos agentes se despliegan a escala.

La industria cripto pasó una década aprendiendo que "si no son tus llaves, no son tus monedas" es más que un eslogan — es un requisito de ingeniería validado por hackeos a intercambios, fallos de custodia y miles de millones en pérdidas. Ahora, mientras los agentes de IA solicitan el mismo acceso a las llaves que exigían los intercambios centralizados, la industria enfrenta la misma pregunta nuevamente: ¿quién tiene las llaves?

La respuesta de MoonPay — un dispositivo físico que requiere confirmación humana para cada transacción — es la respuesta más conservadora posible a la pregunta más importante en las finanzas autónomas. En un mercado que corre hacia la automatización total, ese conservadurismo podría ser exactamente lo que las instituciones necesitan para participar.

La economía de agentes se construirá. La única pregunta es si se construye sobre una base de velocidad o sobre una base de confianza. MoonPay apuesta por que gane la confianza.

---

BlockEden.xyz proporciona infraestructura de RPC y API de nivel empresarial en Ethereum, Solana, Base y más de 20 redes blockchain — la capa fundacional de la que dependen los agentes de IA para obtener datos fiables en cadena y enviar transacciones. A medida que los agentes autónomos exigen una infraestructura segura y de alta disponibilidad, explore nuestro marketplace de APIs para construir sobre bases diseñadas para la era de los agentes.