Manuel Aráoz, cofundador de Openzeppelin, desató un amplio debate en el sector al calificar las finanzas descentralizadas (DeFi) de inseguras. Los líderes del sector replican que la visión de Aráoz exagera el riesgo, y señalan que la seguridad de los préstamos en DeFi ha mejorado en aproximadamente un 98 % desde 2020.
¿Es todo el DeFi inseguro? Los líderes del sector responden tras la advertencia del fundador de Openzeppelin a los inversores minoristas de que abandonen los valores estrella
ESCRITO POR
COMPARTIR
Puntos clave
- Los recientes comentarios del fundador de Openzeppelin, Manuel Aráoz, reavivaron los temores sobre la seguridad de las DeFi.
- Heinrich, director ejecutivo de 0G Labs, señaló un aumento del 98 % en la seguridad de los préstamos desde 2020, lo que desmiente las afirmaciones de que toda la DeFi es insegura.
- Un seguidor de Cysic prevé que los seguros se quintupliquen para 2029, e insta a los reguladores a centrarse en la seguridad operativa (opsec) en lugar del código de IA.
Pasando del drama a los datos
Cuando el cofundador y antiguo director de tecnología (CTO) de Openzeppelin, Manuel Aráoz, calificó las finanzas descentralizadas (DeFi) de totalmente inseguras, sacudió a un sector que ya se tambaleaba por un repunte de los ataques. Poniendo de relieve esa vulnerabilidad, un análisis reciente de la empresa de seguridad de blockchain Peckshield reveló que solo los exploits de protocolos entre cadenas se llevaron 328,6 millones de dólares entre principios de año y mediados de mayo.
Las advertencias virales de Aráoz obligaron a Openzeppelin a distanciarse públicamente de algunas de sus afirmaciones, pero los comentarios lograron desencadenar un intenso debate sobre la seguridad de las DeFi. Aun así, los críticos descartaron su lenguaje dramático como un intento interesado de sembrar el miedo y el pánico. Otros, como Leo Fan, fundador de Cysic, creen que ese enfoque socava la credibilidad de un mensaje que tiene un fondo real.
«Enmarcarlo en un «salir de todo» convierte una advertencia necesaria en contenido catastrofista», dijo Fan. «No se necesita dramatismo para conmover a la gente en este ámbito; se necesitan cifras». Michael Heinrich, cofundador y director ejecutivo de 0G Labs, se hace eco de este mismo sentimiento y señala la mejora de aproximadamente el 98 % en la seguridad de los préstamos DeFi con respecto a su nivel de referencia de 2020. Heinrich también destaca la notable reducción de las tasas de pérdida diaria en los principales protocolos de préstamo, que ahora rondan el 0,001 %, como otro factor que desmiente los comentarios de Aráoz de que «todo el DeFi es inseguro». «Decirle a los inversores minoristas que salgan de valores de primera línea como Aave y Maker no se ajusta al panorama real ajustado al riesgo», declaró Heinrich a Bitcoin.com News.
Al argumentar en contra de DeFi, Aráoz insistió en que los agentes de codificación de inteligencia artificial (IA) se han vuelto increíblemente avanzados a la hora de escanear contratos inteligentes de código abierto e identificar fallos complejos que pueden ser explotados a la velocidad de una máquina. La amenaza que plantean estos agentes es tan grande que ha aconsejado en privado a sus amigos y familiares que salgan por completo de sus posiciones en los principales protocolos DeFi de «primera línea» y de larga trayectoria.
La muerte de la auditoría estática
Sin embargo, Heinrich y Fan sostienen que el auge de los atacantes de IA con capacidades sobrehumanas no significa que los defensores deban abandonar el barco. En cambio, afirman que se requiere un cambio fundamental en la forma en que la industria aborda la seguridad. «La auditoría puntual ya ha muerto; simplemente aún no se ha celebrado el funeral», afirmó Fan. Advirtió que pasar por completo de las auditorías a los programas de recompensas por errores es una lección errónea. «No se sustituye la prevención por la supervisión, sino que se reduce la brecha entre ambas». Según Heinrich, confiar en una auditoría anual ya no es una defensa creíble. En cambio, el futuro de la seguridad de los contratos inteligentes se basa en un proceso de defensa por capas a velocidad de máquina, en el que las auditorías sirven como primer punto de control en lugar de como un evento aislado. Esbozó una pila de seguridad de cuatro capas: auditorías asistidas por IA previas al despliegue combinadas con revisión humana, supervisión continua tras el despliegue, recompensas por errores bien financiadas e IA verificable por parte de los defensores. El objetivo final, señaló Heinrich, es incorporar la verificación formal en las rutas críticas —utilizando pruebas matemáticas en lugar de revisiones subjetivas— junto con revisiones continuas potenciadas por IA que se ejecutan sobre contratos activos de la misma forma en que operan los atacantes.
«Las auditorías no desaparecen», afirmó. «Se convierten en el primer punto de control de un proceso de defensa a velocidad de máquina». Más allá de los procesos de seguridad preventivos, la conversación sobre la mitigación de riesgos gira inevitablemente en torno a los seguros, un elemento básico que, según señala Heinrich, sigue estando muy poco desarrollado en el ecosistema de las criptomonedas. Según Heinrich, algunos obstáculos estructurales limitan el sector de los seguros descentralizados. En primer lugar, los fondos comunes de seguros inmovilizan capital que, de otro modo, podría generar un rendimiento activo en otros ámbitos de las DeFi.
Para ilustrar este punto, Heinrich señala al líder del mercado, Nexus Mutual, que cuenta con aproximadamente 190 millones de dólares frente a un mercado DeFi más amplio que fluctuó entre 40 000 y más de 100 000 millones de dólares en valor total bloqueado. Heinrich señala que este coeficiente de capital es estructuralmente escaso. Otro obstáculo es definir qué constituye un exploit en cadena, lo que él describe como un ejercicio nada trivial.
A pesar de estos obstáculos, Heinrich sostiene que imponer requisitos de seguro en todos los protocolos es una herramienta inadecuada para impulsar la adopción. En su lugar, el sector debe innovar a nivel de producto. «Lo que realmente marca la diferencia son los productos paramétricos en cadena que pagan automáticamente ante señales verificables, y los protocolos que integran el seguro en el producto, del mismo modo que funcionan las comisiones de compensación en los mercados tradicionales», afirmó Heinrich.
Regular las operaciones, no solo el código
Aunque la red de seguridad actual es limitada, la demanda del mercado se está acelerando. Según una previsión de marzo de 2026 de Coinlaw, se prevé que el mercado de seguros descentralizados se multiplique casi por cinco para 2029.
«El capital está llegando», señaló Heinrich. «Lo que falta es la superficie de producto para desplegarlo». El cambio interno del sector hacia una defensa a velocidad de máquina y redes de seguridad automatizadas plantea cuestiones más amplias sobre la supervisión regulatoria. A medida que los responsables políticos examinan cada vez más la seguridad de los activos digitales, Fan advierte de que los reguladores corren el riesgo de centrarse excesivamente en las amenazas equivocadas, como el espectro de los sistemas de IA maliciosos.
«El instinto regulador más inteligente no es entrar en pánico específicamente por los atacantes de IA», dijo Fan. «Es centrarse en la capa operativa donde realmente sale el dinero: custodia de claves, gobernanza multisig, seguridad de puentes y respuesta a incidentes».
Fan sostiene que, al aplicar normas estrictas de seguridad operativa en estos vectores específicos, los organismos de supervisión podrían eliminar la gran mayoría de las pérdidas de capital en el mundo real. Centrarse exclusivamente en el código de los contratos inteligentes mientras se descuidan las operaciones cotidianas, advirtió, equivale a «regular el 10 % y pasar por alto el 90 %». Además, Fan señaló una primitiva técnica que los responsables políticos subestiman sistemáticamente: la criptografía avanzada.
«Las pruebas criptográficas, como las pruebas de conocimiento cero, de qué código se ejecutó y de que se ejecutó correctamente, son un elemento de cumplimiento mucho mejor que un informe de auditoría en PDF», afirmó Fan. «Se puede auditar matemáticamente, no basándose en la confianza. Ahí es donde me gustaría que se centrara la energía reguladora».
