Lo que verifiqué
Me sumergí en los resúmenes de abril y rápidamente vi un problema familiar: las cifras vuelan más rápido que los análisis post-mortem. Los incidentes más grandes fueron reales, especialmente los de Kelp DAO y Drift, y el daño total superó los 600 millones de dólares. Sin embargo, la lista del chat no siempre coincidía con los nombres y montos confirmados, y la historia de los hackers de IA masivos sigue siendo más una hipótesis que un hecho probado.
Por ejemplo, se hablaba de Aftermath Protocol, no de Aftermath Finance. En el caso de Kelp DAO, el análisis público apuntaba a un compromiso de la infraestructura, un ataque DDoS y una falla en el esquema de verificación de mensajes del bridge. Esto ya no es la idea romántica de que "un contrato inteligente se equivocó en un solo require", sino un hackeo multicapa en toda regla, que ataca tanto la infraestructura como las suposiciones de confianza.
En este contexto, mi enfoque no está en el revuelo mediático, sino en la AI implementation en la defensa. Incluso si no se confirmaron agentes de IA en estos casos específicos, el costo del reconocimiento masivo está cayendo en picado. Encontrar un RPC débil, una mala configuración, un rol de administrador sospechoso o una lógica de oráculo defectuosa ahora es mucho más rápido que hace un año.
Aquí es donde me sentí incómodo: el mercado todavía diseña protocolos como si los atacantes trabajaran manualmente y durmieran por la noche. Pero el atacante ya puede no dormir en absoluto.
Qué significa esto para los negocios y la automatización
La primera consecuencia es simple: las revisiones de seguridad manuales ya no son suficientes como única capa de defensa. Si operas un bridge, un protocolo de lending, staking o una infraestructura de wallet, necesitas una AI automation continua para encontrar anomalías en los permisos de acceso, configuraciones, flujos on-chain y cambios en DevOps.
Segundo: ganan los equipos que integran la seguridad en la AI architecture del producto, no los que la añaden después de un incidente. Pierden aquellos que basan sus suposiciones críticas en un solo verificador, una sola clave, un solo proveedor de RPC o una sola persona con acceso.
Y tercero: un bug bounty de "gracias y 2.000$" ahora parece casi una burla. Si el mercado no paga a los investigadores de sombrero blanco, otros monetizarán las vulnerabilidades.
Veo esto también en los proyectos de mis clientes: la seguridad ya no puede separarse de la automatización, porque la automatización está disponible tanto para el defensor como para el atacante. Si tienes un producto DeFi, una wallet o una integración Web3 de alto riesgo, podemos analizar sistemáticamente tu arquitectura y construir un perímetro de monitoreo adecuado. En Nahornyi AI Lab, hacemos precisamente esto en la práctica: desde el desarrollo de soluciones de IA para pipelines de detección hasta la integración de IA específica en procesos existentes, para que tu negocio no tenga que esperar a su propio post-mortem.