-
La plataforma DxSale fue el caso más grave: los atacantes drenaron USD 7,3 millones.
-
El uso de IA acelera los mecanismos de análisis y de ataque para vulnerar contratos inteligentes.
Atacantes extrajeron aproximadamente USD 16,9 millones de cinco contratos inteligentes en los últimos 40 días, según un reporte de la firma de análisis y seguridad on chain Zerodrift publicado hoy, 22 de junio. Los contratos afectados tenían en común que sus equipos de desarrollo ya los habían discontinuado, pero permanecían activos y con tokens depositados.
Un contrato inteligente obsoleto (deprecated contract en inglés) es aquel que el equipo que lo desarrolló dejó de mantener activamente, pero que sigue desplegado en la red y puede recibir fondos, ejecutar operaciones y mover activos. La obsolescencia es una decisión administrativa, ya que no desactiva el contrato ni retira los fondos que contiene. Mientras haya valor adentro y las funciones sean accesibles, el contrato sigue siendo un objetivo de hackeo.
Los cinco incidentes documentados por Zerodrift se concentraron entre el 7 de mayo y el 15 de junio de 2026: el primero fue TrustedVolumes con una pérdida de USD 5,87 millones; Huma Finance perdió USD 101.000; DxSale, una plataforma de lanzamiento de tokens de la BNB Chain, fue el caso más grave del período con USD 7,3 millones sustraídos. Asimismo, Raydium Legacy perdió USD 1,34 millones en Solana y Aztec Connect fue explotado en dos ocasiones consecutivas por atacantes distintos, con una pérdida combinada de USD 2,28 millones sobre infraestructura que ya no podía pausarse ni actualizarse.
El contrato que nadie mira, pero sigue con fondos adentro
El caso de DxSale ilustra el riesgo específico de los contratos diseñados para retener liquidez bloqueada durante períodos prolongados como garantía de que los fondos no serán retirados antes de un plazo acordado. Su función original los convierte en superficies particularmente vulnerables con el tiempo: están construidos para custodiar valor durante años, mientras el conocimiento operacional del equipo, los protocolos de monitoreo y la atención de seguridad se van erosionando.
Según Zerodrift, en el caso de DxSale una ruta de control antigua volvió a ser utilizable y la liquidez que debía estar bloqueada dejó de estarlo.
El patrón que une los cinco incidentes no es un exploit en común ni una falla técnica compartida, de acuerdo con el equipo de Zerodrift, ya que fueron distintos bugs en distintos sistemas con distintas arquitecturas.
No obstante, la condición subyacente es la misma en todos los casos: cada uno de esos contratos había dejado de ser el foco del desarrollo activo del equipo, pero seguía siendo económicamente activo.
Según la firma, esto justifica tratar el riesgo de los contratos heredados como una categoría propia dentro de la seguridad de las finanzas descentralizadas (DeFi), separada de las categorías de ataques convencionales. Un contrato, sostiene Zerodrift, no está retirado cuando el equipo deja de desarrollarlo; está retirado cuando su valor, sus permisos y sus rutas de acceso han sido eliminados.
¿Por qué la IA agrava el problema?
Los contratos obsoletos presentan características que los convierten en superficies ideales para herramientas de análisis automatizado: su código es público, su historia on chain está disponible para cualquiera, están mal monitoreados y acumulan suposiciones de seguridad desactualizadas.
Esa convergencia es relevante a la luz de un análisis publicado por el investigador independiente Robert Campbell, miembro de la British Blockchain Association.
Campbell, como lo explicó CriptoNoticias, describió lo que denomina «inversión de fricción»: en sistemas convencionales, el defensor puede lanzar un parche, aislar segmentos comprometidos o rotar credenciales. En contratos inteligentes, ese equivalente no existe. Mitigar una vulnerabilidad exige migrar el contrato a una versión nueva, coordinando usuarios y liquidez, o depender de mecanismos de pausa que deben estar previstos de antemano y activarse en minutos. Los contratos obsoletos no tienen ninguna de las dos opciones.
Según las estimaciones ilustrativas del paper de Campbell, un atacante humano experto puede tardar alrededor de un mes en descubrir una vulnerabilidad en un contrato y cerca de una semana en construir un exploit funcional. En cambio, un sistema de IA con capacidades ofensivas avanzadas comprimiría esas fases a aproximadamente una hora para el descubrimiento y menos de 24 horas para la construcción del exploit.
Zerodrift aclara explícitamente que no hay evidencia pública de que la IA haya sido utilizada en ninguno de los cinco incidentes documentados. Lo que sí señala es que la búsqueda de contratos obsoletos con valor remanente era, hasta hace poco, una tarea costosa en tiempo y recursos; las herramientas de análisis automatizado la están abaratando.
La asimetría no está resuelta: los equipos de seguridad DeFi desarrollaron prácticas para auditar lanzamientos, pero aún no existe una disciplina equivalente para retirar contratos de forma segura. Mientras eso no cambie, la superficie que estos cinco casos dejaron al descubierto seguirá creciendo.
