Una IA que Roba más Rápido de lo que Puedes Auditar

La era de la auditoría manual en DeFi está llegando a su fin. GPT-5 y los modelos de Claude pueden identificar y explotar de forma autónoma vulnerabilidades en contratos inteligentes de Ethereum. La integridad futura del sector DeFi depende ahora de la capacidad de la industria para desplegar IA defensiva a la misma velocidad que la amenaza.

Cómo la IA Ejecuta el Exploit

Un contrato inteligente es un programa autoejecutable, escrito principalmente en Solidity para la Máquina Virtual de Ethereum. Funciona así - se introducen fondos, se cumplen las condiciones y se obtiene un resultado. Una vulnerabilidad es un fallo de codificación que permite a un atacante eludir las condiciones previstas.

GPT-5 y Claude Opus 4.5 funcionan como Agentic Exploit Generators (Generadores de Explotación Agéntica) utilizando un sofisticado proceso iterativo:

1. Al agente de IA se le asigna un objetivo - dirección del contrato, número de bloque. Utiliza herramientas especializadas para obtener el código fuente, la ABI (Application Binary Interface) del contrato y el estado actual on-chain.
2. El modelo analiza el código y el estado en busca de patrones de vulnerabilidad conocidos. A continuación, sintetiza una Prueba de Concepto (Proof-of-Concept) de explotación como un nuevo contrato malicioso de Solidity.
3. La prueba de concepto (PoC) se ejecuta en un entorno de blockchain simulado (por ejemplo, una red bifurcada que utiliza Foundry). Este es el paso crucial. Si el exploit falla, la IA analiza el rastro de la transacción y el motivo de la reversión, y utiliza esta información para perfeccionar y generar un nuevo script de exploit optimizado.
4. El agente solo informa del éxito si el exploit genera ingresos netos positivos.

Los investigadores han utilizado con éxito estos agentes para reproducir exploits para cientos de vulnerabilidades históricas en un benchmark, generando colectivamente exploits simulados por valor de 4,6 millones de dólares. En simulaciones contra contratos recientemente implementados y no auditados, los agentes descubrieron con éxito vulnerabilidades de día cero, fallos previamente desconocidos para nadie.

La Asimetría Económica y la Crisis de Auditoría

La auditoría manual no es escalable frente a este nuevo nivel de amenaza. Los auditores humanos están luchando por mantenerse al ritmo, lo que se refleja en el mercado: Chainalysis informa que los hackeos relacionados con DeFi representaron un porcentaje dominante de todos los robos de criptomonedas en 2024, una tendencia que la explotación por IA probablemente acelerará. Este riesgo creciente pone en peligro la adopción por parte de los usuarios y el valor de mercado de todo el ecosistema de Ethereum.

El hackeo más famoso de una DAO en 2016. Un error de reentrada se produce cuando un contrato envía Ether a una dirección externa y luego actualiza su estado interno después de la llamada externa. El contrato del atacante incluye una función de respaldo que, al recibir el Ether, vuelve a llamar al contrato original para retirar más fondos antes de que se reduzca el saldo. Esto permite al atacante repetir la retirada varias veces. La IA puede modelar y ejecutar fácilmente esta secuencia de múltiples transacciones, que es compleja para el análisis estático por sí solo.

Puntos Clave

• Los agentes LLM modernos pueden generar, probar y perfeccionar de forma autónoma exploits rentables para contratos inteligentes.
• Las revisiones realizadas por humanos no pueden seguir el ritmo de la generación iterativa de exploits basada en la retroalimentación.
• Un exploit exitoso compensa infinitos exploits fallidos; los defensores deben acertar siempre.
• Muchos exploits de gran impacto (reentrada, fallos lógicos dependientes del estado) solo surgen a través de la ejecución dinámica.
• Los agentes de IA están descubriendo vulnerabilidades que ningún humano había documentado o reconocido anteriormente.