Manuel Aráoz, ex-CTO y cofundador de OpenZeppelin, publicó el 26 de mayo una advertencia que sacudió al sector: considera todo el DeFi inseguro y recomendó a familia y amigos salir de cualquier posición, incluyendo blue-chips. Aave. MakerDAO. Compound. La respuesta del ecosistema fue inmediata, y nada diplomática.
La tesis: los AI agents rompieron el equilibrio
El argumento de Aráoz parte de una asimetría clásica en ciberseguridad: quien defiende debe cerrar cada vulnerabilidad, mientras que quien ataca solo necesita encontrar una. Mientras la búsqueda de bugs dependía de equipos humanos, la carrera era manejable. Ahora los AI coding agents escanean miles de smart contracts en paralelo, sin fatigarse, a una velocidad que ninguna auditoría manual puede igualar. Este punto no es teórico. Según un informe de Anthropic Fellows que simuló 4,6 millones de dólares en exploits sobre contratos nunca vistos por los modelos, cuando una IA encuentra una falla que desconocía, esa falla era real.
La alerta se propagó en X y se volvió viral en pocas horas. → Lee el post de Manuel Aráoz (@maraoz) del 26 de mayo de 2026.
La antítesis: “una idiotez decir eso”
Marc Zeller, fundador de la Aave Chan Initiative, no anduvo con rodeos. Para él, el post carece de sentido, y los datos lo respaldan. Según Zeller, menos del 10% de las pérdidas DeFi del último año provienen de bugs en el código. El resto surge de parámetros de riesgo mal configurados, gestión deficiente del colateral y seguridad operativa débil. Dicho de otra manera: el problema rara vez está en el smart contract en sí, sino en quién tiene las claves, quién fija los límites y quién gestiona los accesos. La propia OpenZeppelin tomó distancia del alarmismo, señalando que las pérdidas de 2025, que superaron los 3.400 millones de dólares según sus propias estimaciones, provienen en gran parte de credenciales comprometidas. La misma empresa lanzó Skills, un sistema que proporciona a los AI agents conocimiento autorizado de librerías ya verificadas, desplazando la defensa hacia etapas más tempranas del desarrollo.
DeFi, TVL total 2026 (miles de millones de dólares)
Fuente: DefiLlama · mayo 2026
Fuente: DefiLlama · mayo 2026
¿Vale la pena mantener fondos en DeFi en 2026?
La respuesta honesta está en el medio, y los datos son elocuentes. En los últimos 365 días, según datos de DefiLlama, los hacks en DeFi quemaron más de 1.100 millones de dólares. Solo en abril se drenaron cerca de 630 millones en al menos 27 exploits, el peor mes desde los tiempos de Bybit. El golpe más grande fue el ataque de 292 millones de dólares al bridge de Kelp DAO, atribuido al grupo norcoreano Lazarus, cuyos movimientos se han analizado en detalle en el peso de Corea del Norte en los hacks de 2026. A esto se suman los 285 millones de Drift y los 27 millones que cerraron Step Finance. El TVL cayó de aproximadamente 172.000 a 148.000 millones de dólares, una tendencia que ya habíamos señalado en el análisis sobre la tesis DeFi 2026 que nadie cuenta bien. La regla práctica sigue vigente: los protocolos con historial sólido como Aave justifican su prima, los nuevos ofrecen más rendimiento pero asumen más riesgo. Y la seguridad de la wallet, como se explica en la guía de wallets hardware, sigue siendo la primera línea de defensa para cualquier usuario on-chain.
DATOS CLAVE
Pérdidas DeFi (últimos 365 días).. más de 1.100 millones de dólares
Pérdidas solo en abril de 2026..... unos 630 millones de dólares
Exploits en abril.................. al menos 27
Hack Kelp DAO (18 de abril)........ 292 millones de dólares
Caída TVL enero-mayo 2026.......... de 172.000 a 148.000 millones
Pérdidas por bugs en el código..... menos del 10% (fuente: Zeller)
Fuente: DefiLlama, Aave Chan Initiative · mayo 2026
Hay un dato que lo pone todo en perspectiva. Incluso si Zeller tuviera razón y los bugs representaran menos del 10%, la irrupción de los AI agents desplaza justamente ese porcentaje técnico hacia el lado del atacante. Aráoz puede exagerar en la conclusión y acertar en la dirección. La supervivencia del sector, según los analistas del ecosistema, pasa por tres puntos concretos: monitoreo on-chain en tiempo real con pausa automática, verificación formal a gran escala y gobernanza capaz de responder a un exploit en minutos, no en horas. Hasta entonces, el riesgo no es un accidente. Es arquitectura. Más casos recientes en la sección Hack y entre los análisis DeFi, como el exploit de 10 millones en THORChain.
