2 publicaciones etiquetados con "security auditing"

En solo 18 días de este abril, los atacantes drenaron $ 606 millones de DeFi. Ese único tramo borró las pérdidas del primer trimestre de 2026 en 3,7 veces y convirtió al mes en el peor desde el atraco a Bybit en febrero de 2025. Dos protocolos —Drift en Solana y Kelp DAO en Ethereum— representaron el 95 % de los daños. Ambos habían sido auditados. Ambos superaron el análisis estático. Ambos lanzaron actualizaciones de rutina que invalidaron silenciosamente las suposiciones que sus auditores habían verificado.

Este es el nuevo rostro del riesgo en DeFi. Los exploits catastróficos de 2026 ya no se tratan de errores de reentrada o desbordamientos de enteros que los fuzzers pueden detectar en CI. Se trata de vulnerabilidades introducidas por actualizaciones: cambios sutiles en las configuraciones de los puentes, fuentes de oráculos, roles de administrador o valores predeterminados de mensajería que convierten el código previamente seguro en una puerta abierta, sin que ninguna línea individual de Solidity parezca obviamente incorrecta.

Si construyes, custodias o simplemente posees activos en DeFi, la conclusión de abril de 2026 es incómoda: un informe de auditoría impecable con fecha de hace tres meses ya no es evidencia de que un protocolo sea seguro hoy.

El patrón de abril: Configuración, no código​

Para entender por qué lo "introducido por actualizaciones" merece su propia categoría, observe cómo se desarrollaron realmente los dos mayores exploits.

**Drift Protocol — $285 millones, 1 de abril de 2026.** El DEX de perpetuos más grande de Solana perdió más de la mitad de su TVL después de que los atacantes pasaran seis meses ejecutando una campaña de ingeniería social contra el equipo. Una vez establecida la confianza, utilizaron la función de "nonces duraderos" de Solana —una conveniencia de UX diseñada para permitir a los usuarios prefirmar transacciones para su envío posterior— para engañar a los miembros del Consejo de Seguridad de Drift para que autorizaran lo que pensaban que eran firmas operativas de rutina. Esas firmas eventualmente entregaron el control de administrador a los atacantes, quienes incluyeron en la lista blanca un token de garantía falso (CVT), depositaron 500 millones de unidades de este y retiraron$ 285 millones en USDC, SOL y ETH reales. La función de Solana estaba funcionando según lo diseñado. Los contratos de Drift estaban haciendo lo que sus administradores ordenaron. El ataque vivió enteramente en la brecha entre lo que los firmantes del multisig pensaban que estaban aprobando y lo que realmente estaban aprobando.

Kelp DAO — $ 292 millones, 18 de abril de 2026. Atacantes atribuidos por LayerZero al Lazarus Group de Corea del Norte comprometieron dos nodos RPC que sustentaban el puente rsETH cross-chain de Kelp, intercambiaron los binarios que se ejecutaban en ellos y utilizaron un DDoS para forzar una conmutación por error del verificador. Los nodos maliciosos luego le dijeron al verificador de LayerZero que había ocurrido una transacción fraudulenta. El exploit solo funcionó porque Kelp ejecutaba una configuración de verificador 1 de 1, lo que significa que una sola DVN operada por LayerZero tenía autoridad unilateral para confirmar mensajes cross-chain. Según LayerZero, esa configuración 1 de 1 es la predeterminada en su guía de inicio rápido y es utilizada actualmente por aproximadamente el 40 % de los protocolos en la red. En 46 minutos, un atacante drenó 116 500 rsETH —alrededor del 18 % de todo el suministro circulante— y dejó varada la garantía envuelta en 20 cadenas. Aave, que lista rsETH, se vio forzada a una crisis de liquidez mientras los depositantes corrían hacia la salida.

Ninguno de los ataques requirió un error en el contrato inteligente. Ambos requirieron comprender cómo una configuración —flujos de firma multifirma, recuentos de DVN por defecto, redundancia de RPC— había sido elevada silenciosamente de "detalle operativo" a "suposición de seguridad estructural".

Por qué las auditorías estáticas pasan por alto esta clase de error​

La auditoría tradicional de DeFi está optimizada para el modelo de amenaza equivocado. Firmas como Certik, OpenZeppelin, Trail of Bits y Halborn sobresalen en la revisión de código línea por línea y en la ejecución de pruebas de invariantes contra una versión de contrato congelada. Eso detecta reentrada, errores de control de acceso, desbordamientos de enteros y fallos de estilo OWASP.

Pero la clase de errores introducidos por actualizaciones tiene tres propiedades que derrotan ese flujo de trabajo:

1. Vive en el comportamiento de tiempo de ejecución compuesto, no en el código fuente. La seguridad de un puente depende de la configuración del verificador de su capa de mensería, el conjunto de DVN, la redundancia de RPC de esas DVN y la exposición al slashing de esos operadores. Nada de eso está en el Solidity que lee un auditor.

2. Se introduce mediante cambios, no por el despliegue inicial. El puente de Kelp presumiblemente se veía bien cuando se integró LayerZero v2 por primera vez. El recuento de DVN se volvió peligroso solo cuando el TVL creció lo suficiente como para valer la pena un ataque y cuando Lazarus invirtió en comprometer la infraestructura RPC.

3. Requiere pruebas diferenciales de comportamiento —responder "¿se preservó el invariante X bajo la nueva ruta de código?"— lo cual ninguna de las principales firmas de auditoría comercializa como un servicio programado posterior a la actualización. Obtienes una auditoría única en la versión 1.0 y una auditoría única separada en la versión 1.1, pero ninguna declaración continua de que la actualización de 1.0 a 1.1 no rompe las propiedades de las que dependía la 1.0.

Las estadísticas del primer trimestre de 2026 cuantifican la brecha. DeFi registró $165,5 millones en pérdidas a través de 34 incidentes en todo el trimestre. Solo abril produjo$ 606 millones en 12 incidentes. El lado del despliegue escaló —se agregaron más de $ 40 mil millones en nuevo TVL en el primer trimestre— mientras que la capacidad de auditoría, la respuesta a incidentes y la validación posterior al despliegue se mantuvieron prácticamente estables. Algo tenía que ceder.

Tres fuerzas que convierten a 2026 en el año en que esto golpea a gran escala​

1. La cadencia de actualizaciones se ha acelerado en cada capa​

Cada L1 y L2 está iterando más rápido. La actualización Pectra de Ethereum está en despliegue activo, Fusaka y Glamsterdam están en diseño, y Solana, Sui y Aptos lanzan cambios en la capa de ejecución en ciclos de varias semanas. Cada actualización a nivel de cadena puede alterar sutilmente la semántica del gas, los esquemas de firma o el orden de las transacciones de maneras que repercuten en los supuestos de la capa de aplicación. El exploit de Drift es un claro ejemplo : una función de Solana ( durable nonces ) diseñada para la conveniencia de la UX se convirtió en el vehículo para una toma de control por parte del administrador.

2. El restaking multiplica la superficie de ataque de las actualizaciones​

El stack de restaking — EigenLayer ( que todavía representa más del 80 por ciento del mercado ) , Symbiotic, Karak, Babylon, Solayer — añade una tercera dimensión al problema. Un solo LRT como rsETH se asienta sobre EigenLayer, que a su vez se asienta sobre el staking nativo de ETH. Cada capa lanza sus propias actualizaciones en su propio horario. Un cambio en la semántica de slashing de EigenLayer tiene consecuencias implícitas para cada operador y cada LRT que consume la validación de ese operador. Cuando el puente de Kelp fue drenado, el contagio amenazó inmediatamente el TVL de EigenLayer, porque los mismos depositantes tenían una exposición a la rehipoteca de tres capas que nunca se les había obligado a modelar. La hoja de ruta de EigenCloud, con sus inminentes expansiones de EigenDA, EigenCompute y EigenVerify, solo ampliará esa superficie.

3. La actividad DeFi impulsada por IA se mueve más rápido que la revisión humana​

Los stacks de agentes como XION, Brahma Console y Giza ahora interactúan con contratos actualizados a velocidad de máquina. Mientras que un tesorero humano podría esperar días después de la actualización de un contrato antes de volver a interactuar, un agente realiza un backtest, lo integra y enruta capital a través de él en cuestión de horas. Cualquier actualización que rompa silenciosamente un invariante es puesta a prueba por un flujo adversarial antes de que un auditor humano pueda volver a revisarla.

La arquitectura defensiva que comienza a emerger​

La noticia alentadora es que la comunidad de investigación de seguridad no ha estado ociosa. Las pérdidas de abril de 2026 han catalizado propuestas concretas en cuatro frentes.

Verificación formal continua. La colaboración de larga duración de Certora con Aave — financiada como una subvención de verificación continua en lugar de un compromiso único — es ahora un modelo a seguir. El Certora Prover vuelve a ejecutar automáticamente las pruebas de invariantes cada vez que cambia un contrato, detectando fallos antes de la integración. Halmos y HEVM ofrecen rutas alternativas de código abierto hacia el mismo objetivo. Cuando la verificación formal detectó recientemente una vulnerabilidad en una integración con la actualización Electra de Ethereum que las auditorías tradicionales habían pasado por alto, no fue un caso aislado ; fue un anticipo.

Servicios de auditoría de diff de actualizaciones. Spearbit, Zellic y Cantina han comenzado a pilotar servicios de pago que auditan el diff entre dos versiones de un contrato, no la nueva versión de forma aislada. El modelo trata cada actualización como una nueva atestación y examina explícitamente si se conservan los invariantes anteriores. El programa de subsidios de auditoría de $ 1 M de la Fundación Ethereum, lanzado el 14 de abril de 2026, con una lista de socios que incluye a Certora, Cyfrin, Dedaub, Hacken, Immunefi, Quantstamp, Sherlock, Spearbit, Zellic y Zokyo, tiene como objetivo parcial ampliar la capacidad para este tipo de trabajo.

Ingeniería del caos y monitoreo en tiempo de ejecución. OpenZeppelin Defender y otras herramientas emergentes están integrando simulaciones de mainnet bifurcada ( forked-mainnet ) en los pipelines de CI, lo que permite a los protocolos replicar escenarios adversariales contra cada actualización propuesta. La disciplina se toma prestada directamente de la práctica de SRE de la Web2 — y es algo que ya debería haber llegado a DeFi.

Escrows de actualización con bloqueo de tiempo. El patrón Compound Timelock v3, donde cada actualización aprobada por la gobernanza permanece en una cola pública durante un retraso fijo antes de su ejecución, le da a la comunidad tiempo para detectar problemas que la revisión interna pasó por alto. No evita los errores introducidos por las actualizaciones, pero gana tiempo para que sean descubiertos antes de su explotación.

La comparación con TradFi : La auditoría continua es la norma fuera de DeFi​

Las finanzas tradicionales resolvieron el problema análogo hace décadas. SOC 2 Tipo II, el estándar al que se someten la mayoría de los proveedores de servicios institucionales, no es una atestación única ; es una ventana de auditoría continua de seis a doce meses. El marco de riesgo de contraparte de Basilea III exige que los bancos actualicen sus modelos de capital a medida que cambian las exposiciones, no anualmente. Un banco de custodia que actualizara un sistema de liquidación no tendría permitido operar bajo la premisa de " auditamos la v1 ; la v2 fue solo un pequeño cambio ".

La cultura predominante de DeFi — " auditar una vez, desplegar para siempre, volver a auditar solo en rediseños importantes " — es la práctica que TradFi rechazó explícitamente después de la crisis de 2008. Al ritmo actual de pérdidas, la industria está en camino de alcanzar los $ 2 mil millones o más en pérdidas anuales por exploits de actualizaciones. Esto es lo suficientemente grande como para atraer a reguladores que ya consideran que los estándares de auditoría de DeFi son deficientes, y es lo suficientemente grande como para hacer de la validación continua una condición previa para el capital institucional.

Qué significa esto para constructores, depositantes e infraestructura​

Para los equipos de protocolos, el mandato operativo es sencillo, aunque no sea barato : cada actualización debe tratarse como un nuevo lanzamiento que vuelve a derivar, no hereda, sus garantías de seguridad. Eso significa re-auditorías programadas basadas en diffs, especificaciones de verificación formal que acompañen cada propuesta de gobernanza y bloqueos de tiempo significativos antes de la ejecución. Significa publicar — al estilo de Aave — un marco de riesgo en cascada cuantificado que nombre de qué protocolos dependes y cómo se ve tu exposición cuando uno de ellos falla.

Para los depositantes, la lección es que " este protocolo fue auditado " ya no es una señal útil por sí sola. La pregunta correcta es " ¿cuándo fue la última ejecución de verificación continua, contra qué invariantes y sobre qué versión del código desplegado ? ". Los protocolos que no puedan responder a eso deben valorarse en consecuencia.

Para los proveedores de infraestructura — operadores de RPC, indexadores, custodios — el incidente de Kelp es una advertencia directa. El compromiso se produjo en dos nodos RPC cuyos binarios fueron intercambiados silenciosamente. Cualquier persona que ejecute infraestructura que participe en la verificación cross-chain ( DVN, nodos de oráculo, secuenciadores ) ahora es parte del modelo de seguridad, tanto si se inscribió para ello como si no. Las compilaciones reproducibles, los binarios atestiguados, los quórums de múltiples operadores por encima de los valores predeterminados de 1 de 1 y la verificación de binarios firmados al inicio ya no son opcionales.

Las actualizaciones a nivel de cadena — Pectra y Fusaka en Ethereum, los despliegues de ejecución paralela en Solana y Aptos, los objetivos de rendimiento de Glamsterdam — seguirán ampliando la superficie. Los protocolos y operadores de infraestructura que sobrevivan a 2026 serán aquellos que adoptaron la validación continua lo suficientemente pronto como para que su próxima actualización rutinaria sea también su próximo punto de control de seguridad demostrable.

BlockEden.xyz opera infraestructura de producción de RPC, indexadores y nodos en Sui, Aptos, Ethereum, Solana y una docena de otras cadenas. Tratamos cada actualización de protocolo — en la capa de cadena o en la capa de aplicación — como un nuevo evento de seguridad, no como una tarea de mantenimiento. Explore nuestra infraestructura empresarial para construir sobre una base diseñada para sobrevivir a la cadencia de actualizaciones que se avecina.

Fuentes​

• La pesadilla de abril de $ 606 M en cripto: 12 hackeos, 18 días, el peor mes desde el atraco a Bybit — CryptoTimes
• $ 606 millones perdidos: abril de 2026 se convierte en el peor mes para los exploits de criptomonedas — Blockonomi
• Kelp DAO explotado por $ 292 millones con wrapped ether varado en 20 cadenas — CoinDesk
• LayerZero culpa a la configuración de Kelp por el exploit de $ 290 millones, atribuyéndolo al grupo Lazarus de Corea del Norte — CoinDesk
• Hackeo de Drift Protocol: Cómo el acceso privilegiado llevó a una pérdida de $ 285 M — Chainalysis
• Cómo los atacantes de Drift drenaron más de $ 270 millones utilizando una función de Solana diseñada por conveniencia — CoinDesk
• Hackers norcoreanos atacan Drift Protocol en un atraco de $ 285 millones — TRM Labs
• Análisis de patrones de exploits DeFi del Q1 2026: $ 137 M perdidos, 5 patrones de ataque que todo auditor debe conocer — DEV Community
• El Top 10 de OWASP para Smart Contracts: 2026 — DEV Community
• Aave-Certora-Secureum: Una colaboración de seguridad DeFi — Secureum
• La Ethereum Foundation financia un programa de auditoría de $ 1 M para desarrolladores de smart contracts
• Smart contracts actualizables: Proxies, patrones, errores comunes y salvaguardias de CI / CD — Octane Security
• El hackeo de $ 292 M a rsETH de Kelp DAO desencadena una crisis de liquidez en Aave — CCN
• Más de 400 M perdidos en exploits de DeFi en 2026 — CCN

Para los profesionales del espacio Web3, una auditoría de seguridad no es solo una necesidad técnica, sino un hito crítico en el ciclo de vida de un proyecto. Sin embargo, un estudio pionero de la Universidad de Macao y la Universidad Estatal de Pensilvania —basado en entrevistas en profundidad con 20 usuarios y un análisis de más de 900 publicaciones de Reddit— revela una dura realidad: existe una brecha significativa entre las prácticas de auditoría de la industria y las percepciones reales de los usuarios finales, sus modelos de confianza y sus decisiones conductuales.

Este informe es más que una discusión académica; sirve como un informe de inteligencia para todos los practicantes de Web3. Identifica los puntos de dolor en el ecosistema actual de auditorías y proporciona una hoja de ruta estratégica clara para aprovechar las auditorías de manera más eficaz, construir confianza y guiar el comportamiento del usuario.

Ideas clave: ¿Cómo perciben los usuarios su “certificado de seguridad”?​

El estudio revela sistemáticamente los sesgos cognitivos y los patrones de comportamiento de los usuarios a lo largo de la cadena de información de la auditoría:

1. El efecto “Visión de túnel” en la adquisición de información
El canal principal, y a menudo único, a través del cual los usuarios acceden a la información de la auditoría es el sitio web oficial del proyecto. Todos los entrevistados confirmaron este patrón de comportamiento.

• Implicación estratégica: Tu sitio web es el campo de batalla principal para comunicar el valor de una auditoría. No asumas que los usuarios profundizarán en el sitio de la firma auditora o cruzarán referencias on‑chain. La forma en que la información de la auditoría se presenta en tu sitio moldea directamente la primera impresión del usuario y la base de confianza.

2. La bipolarización del valor percibido de la información
Los usuarios generalmente consideran que el valor informativo de los informes de auditoría actuales es insuficiente, lo que se manifiesta de dos maneras:

• Valor insuficiente para expertos: Los usuarios con conocimientos técnicos sienten que muchos informes son “apresurados, formulaicos y repetitivos”, careciendo de profundidad e ideas significativas.
• Barreras prohibitivas para novatos: Los usuarios no técnicos se ven abrumados por la jerga profesional y el código, lo que dificulta la comprensión. Una revisión externa de los sitios web de firmas auditoras refuerza esto: más de un tercio de las firmas carecen de descripciones detalladas de sus procesos de servicio, y la mayoría no divulga adecuadamente la experiencia profesional de sus auditores.
• Implicación estratégica: El formato actual de informe PDF “talla única” está fallando al atender las necesidades de diferentes segmentos de usuarios. Los proyectos y las firmas auditoras deben considerar estrategias de divulgación en capas e interactivas —resúmenes concisos, evaluaciones visuales de riesgos y detalles técnicos completos para el escrutinio de expertos.

3. La fragilidad del modelo de confianza: dependencia de la reputación en medio de escepticismo generalizado
Los usuarios citan la “reputación” de una firma auditora como el criterio principal para juzgar la calidad, pero este modelo de confianza es frágil.

• La ambigüedad de la reputación: Muchos entrevistados no pudieron nombrar más de una firma auditora, lo que sugiere que la percepción de reputación es vaga y fácilmente influenciable.
• Dudas fundamentales sobre la independencia: Dado que los servicios de auditoría son pagados por el proyecto, los usuarios cuestionan ampliamente su imparcialidad. Un entrevistado resumió: “Es poco probable que critiquen abiertamente o ‘derriben’ a sus clientes”. Las discusiones en Reddit reflejan un escepticismo similar.
• Implicación estratégica: La confianza del usuario no se construye sobre detalles técnicos, sino sobre la percepción de independencia e imparcialidad. Incrementar proactivamente la transparencia del proceso de auditoría —por ejemplo, divulgando flujos de trabajo con los clientes— es más crítico que simplemente publicar un informe técnico.

4. El verdadero valor de una auditoría: “Prueba de esfuerzo”
A pesar de las dudas sobre la efectividad y la equidad, hay un consenso casi universal: el hecho de someterse a una auditoría es en sí mismo una señal poderosa del compromiso de un proyecto con la seguridad y la responsabilidad.

• Un participante explicó que muestra “que la aplicación se toma en serio su seguridad y al menos está dispuesta a invertir en una auditoría”.
• Implicación estratégica: Una auditoría no es solo una salvaguarda técnica, sino también una herramienta crucial de marketing y generación de confianza. Su significado simbólico supera con creces la cantidad de contenido que los usuarios realmente comprenden. Los equipos deben enfatizar su inversión en auditorías independientes en la comunicación de marketing y con la comunidad.

5. Comportamiento de toma de decisiones del usuario: binario y asimétrico

• Enfoque en la “presencia”, no en la “calidad”: Los usuarios dedican muy poco tiempo a revisar la información de la auditoría —generalmente menos de 10 minutos—. Les importa más si existe una auditoría que los detalles de la misma.
• Influencia asimétrica: Los resultados positivos de auditoría aumentan significativamente la confianza de la comunidad. Los resultados negativos generan preocupación, pero tienen efectos disuasorios limitados para usuarios de alto riesgo.
• Implicación estratégica: El estado binario “Auditado/No auditado” es la variable más influyente en la toma de decisiones del usuario. Los proyectos deben asegurarse de que este estado sea claramente visible. Las firmas auditoras, a su vez, pueden diseñar sus conclusiones de informe para ser más impactantes en la decisión del usuario.

Diseño orientado al futuro y transformación estratégica​

Con base en estas ideas, el estudio ofrece un plan de acción claro para los practicantes:

1. Para firmas auditoras: remodelar informes y modelos de servicio

• De estático a interactivo: Abandonar los informes PDF tradicionales en favor de plataformas web interactivas con datos en capas, fragmentos de código clicables y mecanismos de retroalimentación integrados.
• Adoptar transparencia radical: Divulgar proactivamente metodologías de auditoría, procesos clave e incluso interacciones con clientes (excluyendo secretos críticos) para demostrar independencia e imparcialidad.
• Impulsar la estandarización de la industria: La ausencia de normas erosiona la credibilidad del sector. Las firmas deben ayudar a establecer prácticas uniformes, clasificaciones de riesgo y normas de reporte, y educar a la comunidad.

2. Para equipos de proyecto: integrar auditorías en la estrategia UX y de comunicación

• Optimizar la presentación de la información: Mostrar claramente la información de auditoría en tu sitio web. Una página concisa de “Resumen de auditoría” que enlace al informe completo es más eficaz que un simple enlace a PDF.
• Aprovechar la “prueba de esfuerzo”: Enmarcar la finalización de una auditoría de terceros como un hito central de confianza en marketing, AMAs comunitarios y whitepapers.
• Asumir un rol educativo: Asociarse con auditores para co‑organizar eventos de educación en seguridad. Esto eleva la conciencia y refuerza la confianza tanto en el proyecto como en la marca de auditoría.

3. Para constructores de comunidad y ecosistema: aprovechar el poder de la inteligencia colectiva

• Empoderar a la comunidad: Apoyar a expertos técnicos o KOLs para que ofrezcan interpretaciones y reseñas de terceros de los informes de auditoría.
• Explorar gobernanza DAO: Experimentar con modelos donde las auditorías sean comisionadas o supervisadas por una DAO. Este enfoque puede fortalecer la independencia y credibilidad mediante votaciones e incentivos comunitarios.

---

En conclusión, esta investigación lanza una advertencia clara: la industria Web3 ya no puede tratar la auditoría como una función técnica aislada. Los practicantes deben enfrentar la brecha entre las prácticas actuales y la percepción del usuario, colocando la experiencia del usuario y la generación de confianza en el centro. Solo aumentando la transparencia, optimizando la comunicación y promoviendo la estandarización podremos construir colectivamente un futuro descentralizado más seguro y confiable.