A raíz de la reciente oleada de hackeos de DeFi, la empresa líder en seguridad de blockchain Certora organizó una retransmisión en directo titulada "¿Estamos asegurando la capa equivocada?" el jueves 30 de abril, en la que se cuestionó un supuesto de larga data en DeFi. Durante años, el sector se ha centrado en gran medida en las auditorías de contratos inteligentes como principal línea de defensa. Sin embargo, los ataques recientes sugieren que los atacantes ya no se basan únicamente en romper la lógica del contrato. En su lugar, se centran cada vez más en los sistemas circundantes que soportan los protocolos.
El mes de abril de 2026 pone de manifiesto este cambio. En ese mes se registraron 29 ataques distintos, un 81% más que el máximo anterior de 16 incidentes en enero, lo que lo convierte en el peor mes registrado en cuanto a ataques criptográficos.
Los incidentes más importantes fueron KelpDAO, con 293 millones de dólares, Drift, con 295 millones de dólares, y Rhea, con 18 millones de dólares. Estos incidentes no compartían un único fallo técnico. Por el contrario, reflejaron una amplia expansión de los vectores de ataque en todo el ecosistema.
Seth Hallem, Consejero Delegado de Certora, se unió a Michael Lewellen, Jefe de Ingeniería de Soluciones de Turnkey, para analizar cómo ha evolucionado el panorama de las amenazas y qué deben hacer los equipos de protocolo para adaptarse. El debate puso de manifiesto un cambio evidente. Los riesgos de seguridad se extienden ahora mucho más allá del código onchain hacia la infraestructura offchain, los procesos operativos y el comportamiento humano.
Un panorama de amenazas cambiante
La conversación se inició con un repaso de los recientes ataques de gran repercusión. Lewellen señaló un aumento de los ataques a lo largo de abril, incluidos los incidentes que afectaron a Drift Protocol, KelpDAO y varios proyectos del ecosistema Sui. Estos ataques no se basaban en las vulnerabilidades tradicionales de los contratos inteligentes. En su lugar, explotaron puntos débiles en configuraciones multisig, infraestructuras y prácticas operativas.
En un ejemplo, los atacantes utilizaron la ingeniería social para comprometer a los firmantes de multisig. En otro, incrustaron código malicioso en la infraestructura de backend y esperaron el momento oportuno para actuar. Estos métodos reflejan una tendencia más amplia. Los atacantes se comportan ahora más como amenazas persistentes avanzadas, invirtiendo tiempo y recursos en la infiltración a largo plazo en lugar de en explotaciones rápidas.
Hallem señaló que este cambio representa una llamada de atención para el sector. Los primeros ataques DeFi solían consistir en simples errores de codificación. Los atacantes actuales demuestran paciencia, coordinación y un profundo conocimiento del funcionamiento de los protocolos en múltiples capas.
El papel de la inteligencia artificial en los ataques modernos
La inteligencia artificial ha acelerado aún más este cambio. Tanto Hallem como Lewellen destacaron que las herramientas de IA permiten ahora a los atacantes analizar protocolos a una velocidad sin precedentes. Al escanear bases de código, documentación y datos públicos, estas herramientas pueden identificar rápidamente puntos débiles y generar posibles estrategias de ataque.
Este menor coste de descubrimiento ha reducido el umbral de explotación. Los protocolos más pequeños con recursos limitados se enfrentan ahora al mismo nivel de escrutinio que antes sólo se aplicaba a las plataformas más grandes.
Al mismo tiempo, la IA también proporciona ventajas defensivas. Los equipos de seguridad pueden utilizar herramientas similares para modelar amenazas, identificar vulnerabilidades y probar suposiciones. Sin embargo, esto crea una carrera entre atacantes y defensores. Los equipos que no adopten estas herramientas corren el riesgo de quedarse atrás.
Medidas de seguridad inmediatas para los equipos de DeFi
Un tema central del debate se centró en la seguridad operativa. Lewellen destacó la importancia de la protección de puntos finales, el control de acceso y el refuerzo de la infraestructura. Muchos equipos siguen dependiendo de dispositivos personales, una supervisión mínima y procesos poco definidos. Estas prácticas introducen un riesgo significativo.
Lewellen recomendó varias medidas inmediatas. Los protocolos deberían:
-
Aumentar los umbrales multisig para acciones críticas
-
Segmentar los permisos en función del riesgo
-
Adoptar métodos de autenticación basados en hardware
Los equipos también deberían implantar sistemas de detección de puntos finales, imponer el uso seguro de dispositivos y mantener registros detallados para la respuesta a incidentes.
Hallem añadió que los protocolos deben alinear sus procesos operativos con sus perfiles de riesgo. No todas las acciones requieren el mismo nivel de seguridad. Las operaciones rutinarias pueden seguir siendo flexibles, pero las acciones de alto impacto, como las actualizaciones de contratos, deben estar sujetas a controles más estrictos y plazos de aprobación más largos.
El reto de equilibrar seguridad y descentralización
El debate también abordó una tensión dentro de Web3. La descentralización sigue siendo un valor fundamental, pero lograr una seguridad sólida a menudo requiere una coordinación centralizada e importantes recursos. Los equipos pequeños que gestionan grandes cantidades de capital se enfrentan a retos particulares para satisfacer estas demandas.
Hallem comparó esta dinámica con la evolución de la computación en nube. Al principio, las organizaciones se resistieron a la centralización por motivos de seguridad, pero finalmente reconocieron que los grandes proveedores podían ofrecer una mayor protección gracias a la escala. Es posible que se produzca un cambio similar en la infraestructura criptográfica a medida que los protocolos busquen soluciones de seguridad de nivel empresarial.
Hacia una seguridad continua
Una de las conclusiones más claras de la retransmisión en directo fue la necesidad de prácticas de seguridad continuas. Las auditorías puntuales no pueden tener en cuenta la evolución de las amenazas, los cambios en la infraestructura o las nuevas técnicas de ataque. En su lugar, los protocolos deben adoptar una supervisión continua, una modelización periódica de las amenazas y una validación permanente de sus sistemas. Este enfoque trata la seguridad como una función operativa y no como una lista de comprobación puntual.
Lewellen subrayó que los atacantes seguirán adaptándose. Si una capa se vuelve segura, atacarán otra. Por tanto, los protocolos deben adoptar una visión holística de sus sistemas y eliminar los puntos únicos de fallo siempre que sea posible.
Una nueva realidad de seguridad para DeFi
La retransmisión en directo de Certora puso de relieve un cambio fundamental en la forma de entender la seguridad de DeFi. Los contratos inteligentes siguen siendo fundamentales, pero ya no representan el principal punto de fallo. El ecosistema más amplio, incluida la infraestructura, la gobernanza y los procesos humanos, define ahora la verdadera superficie de ataque.
A medida que los protocolos crezcan y atraigan más capital, se enfrentarán a adversarios cada vez más sofisticados. Abordar este reto requiere algo más que un código mejor. Exige un enfoque global que integre la tecnología, las operaciones y la conciencia humana en una estrategia de seguridad unificada.
Más información en SolanaFloor
Onchain Markets Reject New Launches as $PRINT, $SPC Debuts End Badly
Meta Rolls Out $USDC Payouts for Creators on Solana
¿Debería Circle haber congelado los fondos robados?
