Manuel Aráoz, CEO de OpenZeppelin, lanzó una advertencia inusualmente dura para las finanzas descentralizadas: ahora considera que todo DeFi es inseguro. Su argumento no es que los contratos inteligentes se hayan vuelto frágiles de repente, sino que la inteligencia artificial cambió la ventaja de los atacantes. La preocupación central es una seguridad asimétrica a velocidad máquina, porque los defensores deben encontrar y corregir cada falla, mientras los atacantes solo necesitan un error explotable para drenar fondos. La advertencia llega mientras el valor total bloqueado en DeFi ha caído más de $20B este año.
PSA: I now consider *all* of DeFi unsafe.
Coding agents are superhuman at finding vulnerabilities, and smart contract security is too asymmetric: defenders need to fix every bug while attackers need just one exploit to steal funds.
— Manuel Aráoz (@maraoz) May 26, 2026
La IA convierte la transparencia de los contratos inteligentes en una vulnerabilidad
El momento es difícil de ignorar. Más de $1.1B se han perdido en hacks de DeFi durante los últimos 365 días, con incidentes recientes mostrando qué tan rápido una sola debilidad puede contaminar la confianza en distintos protocolos. El exploit de Kelp DAO en abril, por $292M, expuso riesgos en infraestructura cross-chain, mientras Step Finance, basado en Solana, cerró este año después de un exploit de $27M del que no pudo recuperarse. El daño ya no es teórico ni aislado, y cada nuevo caso hace que la promesa de unas finanzas abiertas y componibles parezca más expuesta.
La dimensión de la IA vuelve la advertencia aún más seria. Anthropic ha dicho que su modelo restringido Claude Mythos puede descubrir vulnerabilidades de software de forma autónoma y desarrollar exploits funcionales a un nivel superior al de las herramientas automatizadas existentes. Para DeFi, eso plantea una contradicción incómoda: el código público permite verificación, pero también ofrece a los sistemas de IA un mapa permanente de posibles superficies de ataque. La transparencia, durante mucho tiempo presentada como una fortaleza de DeFi, puede convertirse en exposición operativa, especialmente si las máquinas pueden detectar fallas y convertirlas en ataques más rápido que los equipos humanos.
Eso no significa que DeFi esté terminado, pero sí redefine la conversación sobre riesgo. La seguridad ya no puede tratarse como una auditoría final antes del lanzamiento ni como una insignia de marketing asociada al valor total bloqueado. El nuevo estándar es una defensa adversarial continua, con protocolos que necesitan monitoreo más rápido, procesos de actualización más sólidos y supuestos realistas sobre atacantes asistidos por IA. La advertencia de Aráoz pesa precisamente porque llega desde el corazón de la seguridad cripto. Si los agentes de código ya son sobrehumanos encontrando vulnerabilidades, la próxima ventaja competitiva de DeFi podría ser sobrevivir.
