Manuel Aráoz, cofundador de la firma de seguridad cripto OpenZeppelin, declaró el martes que ahora considera «todo DeFi» inseguro y que lleva tiempo aconsejando personalmente a amigos y familiares que cierren cualquier posición en DeFi, incluidos los protocolos blue-chip Aave, MakerDAO y Compound. «Los agentes de código son sobrehumanos encontrando vulnerabilidades, y la seguridad de los contratos inteligentes es demasiado asimétrica», escribió en X. «Los defensores tienen que corregir cada error, mientras que a los atacantes les basta con un único exploit para robar fondos.»
La advertencia llega en un momento durísimo para el sector: en abril se robaron casi 630 millones de dólares en protocolos DeFi, el peor mes en exploits desde el hack de Bybit de 1.500 millones de dólares en febrero de 2025. Dos brechas explican la mayor parte del daño: el exploit de ingeniería social de 285 millones de dólares a Drift y un ataque de 293 millones contra un puente cross-chain en Kelp DAO, ambos ampliamente atribuidos a hackers respaldados por el Estado norcoreano. DefiLlama contabilizó 27 exploits de DeFi en abril, con 25 más ya registrados en mayo.
Por qué importa
Aráoz no es un crítico que mira desde fuera: OpenZeppelin escribió las librerías de contratos y las herramientas de seguridad sobre las que corre buena parte del stack de DeFi, y su firma audita los mismos protocolos blue-chip de los que ahora pide a la gente salir. Cuando la persona que mejor conoce el estado del arte defensivo retira el supuesto de que «los protocolos son seguros si están auditados», el marco que el resto del sector usa para medir el riesgo tiene que revisarse. Su planteamiento —asimetría ofensiva, búsqueda de exploits aumentada por IA, una superficie de ataque que no deja de crecer— es el mismo argumento que los equipos de riesgo institucionales llevan meses haciendo en voz baja, ahora expuesto en público por la fuente mejor acreditada posible.
Impacto en el mercado
El miedo ya se nota en los flujos. El valor total bloqueado en DeFi cae cerca de un 14% desde mediados de abril, deslizándose desde unos 172.000 millones de dólares hasta 148.000 millones, un movimiento de huida del riesgo que se aceleró en los días posteriores a la brecha de Kelp DAO. Los exploits de mayo han sido más pequeños —Verus Network perdió 11,6 millones de dólares por un bug en un puente de Ethereum, y Polymarket reconoció una brecha de 573.200 dólares—, pero el mercado lee el ritmo, no el tamaño.
Preguntas frecuentes
-
¿Quién es Manuel Aráoz y por qué su advertencia tiene peso?
Manuel Aráoz es el cofundador de OpenZeppelin, la firma de seguridad cripto que escribió librerías de contratos inteligentes ampliamente usadas y audita grandes protocolos DeFi, incluidos los blue-chip que ahora pide a la gente evitar.
-
¿Qué asimetría describe Aráoz en la seguridad de DeFi?
Los defensores deben encontrar y corregir cada vulnerabilidad en el código de un protocolo, mientras que a los atacantes solo les hace falta un exploit funcional para vaciar fondos, una brecha que, según dice, se amplía a medida que los agentes de código con IA aceleran el descubrimiento de vulnerabilidades.
-
¿Qué tan malo fue abril en exploits de DeFi?
Se robaron casi 630 millones de dólares en 27 incidentes reportados en abril, el peor mes desde el hack de Bybit de 1.500 millones de dólares en febrero de 2025, según el panel de The Block y datos de DefiLlama.
-
¿Qué ataques explican la mayor parte de las pérdidas de DeFi en abril?
Dos incidentes concentran el grueso: un exploit de ingeniería social de 285 millones de dólares a Drift y un ataque de 293 millones contra un puente cross-chain en Kelp DAO. Ambos se han atribuido ampliamente a hackers respaldados por el Estado norcoreano.
-
¿Está reaccionando ya el mercado DeFi a la preocupación por la seguridad?
Sí. El valor total bloqueado en protocolos DeFi ha caído cerca de un 14% desde mediados de abril, desde unos 172.000 millones hasta 148.000 millones de dólares, con salidas que se aceleraron tras la brecha de Kelp DAO.