Las finanzas descentralizadas (DeFi) presenciaron uno de sus incidentes cibernéticos más extraordinarios después de que un error de codificación generado por IA expusiera una vulnerabilidad importante. La última brecha afectó al protocolo Moonwell, donde una fórmula defectuosa en el oráculo de precios, escrita por el modelo Claude Opus 4.6, provocó pérdidas por un total aproximado de 1,78 millones de dólares. Lo que los expertos ahora llaman la primera víctima importante de la llamada “vibe-coding”—la tendencia hacia el desarrollo de software acelerado impulsado por IA—deja al sector DeFi en una encrucijada entre innovación e integridad.
El Error de Cálculo de Precios de Claude Opus Provoca Estragos
El analista de seguridad de la industria, Pashov, sacó a la luz el problema, subrayando agudamente los riesgos que la inteligencia artificial introduce en los flujos de desarrollo de software. En el centro de la brecha se encontraba un fallo en el oráculo de precios de Moonwell: el valor de cbETH, un activo clave, quedó completamente desconectado de la realidad del mercado. Normalmente cotizando cerca de los 2.200 dólares, cbETH fue listado erróneamente en solo 1,12 dólares debido a un código defectuoso escrito por Claude Opus 4.6. El resultado fue un día aprovechado por los explotadores y una rápida cascada de pérdidas.
Profundizar en la fuente del error reveló un problema más profundo: un error en la fórmula matemática incrustado en la lógica central del contrato inteligente. Según Cos, fundador de SlowMist, este error básico en el feed de precios abrió el camino a los atacantes para explotar desequilibrios sistémicos. El incidente sirvió como evidencia clara de que incluso los sistemas DeFi más complejos pueden verse desmantelados por errores de la IA, enfatizando su naturaleza precaria.
Un examen más detallado del repositorio de GitHub de Moonwell y las solicitudes de extracción no dejó dudas: el código erróneo fue co-escrito por el modelo Claude junto con desarrolladores humanos. El exceso de confianza en la codificación asistida por IA difuminó procesos de auditoría cruciales, transformando plataformas con miles de millones en volumen en objetivos principales para los ciberdelincuentes. Este incidente sirve como advertencia para todos los equipos que integran IA generativa en aplicaciones críticas para la misión.
Riesgos de la IA y la Necesidad de Supervisión de los Desarrolladores
Los actores de la industria están llamando a este evento el primer gran hackeo de la era del “vibe-coding”. El impulso por la velocidad, que llevó a delegar una autoridad de desarrollo significativa a modelos como Claude sin una revisión manual suficiente o controles de seguridad robustos, expuso una vulnerabilidad crítica. La explotación de Moonwell resultó en algo más que una pérdida financiera; dejó abiertas dudas sobre la fiabilidad de los modelos de producción de código de próxima generación que ahora emergen en toda la industria tecnológica.
Especialistas en seguridad como Pashov y Cos advierten que la facilidad de utilizar sistemas autónomos para la creación de contratos inteligentes viene acompañada de errores matemáticos impredecibles y, a veces, catastróficos. Un simple decimal fuera de lugar o un multiplicador incorrecto en el flujo de precios fue suficiente para eliminar millones de dólares en segundos. Este episodio demuestra claramente que la IA, a pesar de todo su potencial, sigue siendo demasiado “inmadura” para asumir por sí sola la responsabilidad de infraestructuras financieras de alto riesgo.
Tras lo sucedido, la lección es inconfundible: la “supervisión centrada en el ser humano” sigue siendo primordial. Independientemente de cuán avanzados se vuelvan los modelos generativos, la revisión meticulosa por parte de auditores profesionales sigue siendo la salvaguardia más robusta en DeFi, donde no hay margen para el error. La brecha de Moonwell ya se está consolidando como uno de los ejemplos más costosos de la “alucinación” de la IA durante el desarrollo, con repercusiones financieras reales que no se olvidarán pronto.
