Contratos olvidados de Ethereum, ¿nuevo blanco de ataques de IA? 

Hackers están explotando contratos inteligentes antiguos desplegados en Ethereum, posiblemente usando modelos de inteligencia artificial (IA) para detectar sus vulnerabilidades a escala. Así lo advirtieron el investigador y desarrollador conocido en X como deebeez el 15 de marzo y el equipo de la wallet de hardware Keystone.

El caso documentado por deebeez involucra un contrato llamado Noda, de menos de 300 líneas de código y seis años de antigüedad. El contrato permitía al destinatario de comisiones ejecutar operaciones privilegiadas, pero exigía «cualquier firma válida de esa dirección», sin verificar que correspondiera a una transacción específica del contrato, según explicó deebeez.

Cualquier transacción firmada por esa dirección en cualquier contexto era suficiente. El atacante tomó transacciones previas del destinatario y las usó para drenar el contrato. Según deebeez, el hacker estaría drenando múltiples objetivos en otras transacciones.

El código del contrato, verificado en el explorador Etherscan y fechado el 25 de mayo de 2020, aparece marcado con una advertencia activa sobre bugs conocidos del compilador Solidity (signo de exclamación amarillo), el lenguaje en el que están escritos la mayoría de los contratos inteligentes de Ethereum.

La alerta es pública y visible para cualquiera que consulte el contrato: indica que fue construido con una versión del compilador que acumula vulnerabilidades documentadas, pero que nunca fue actualizado.

La estructura de Ethereum facilita estos ataques, según Keystone

El equipo detrás de Keystone, compañía creadora de una de las hardware wallets más utilizadas del mercado, señaló que el vector de ataque se apoya en un mecanismo estructural de Ethereum: cuando un usuario aprueba un contrato DeFi para mover sus tokens, esa autorización no tiene fecha de vencimiento.

De ese modo, contratos aprobados hace seis o más años (como Noda) siguen teniendo acceso permanente a esos fondos. Si el contrato tiene una vulnerabilidad, el atacante puede drenar los tokens sin que el usuario firme nada nuevo ni reciba ninguna alerta. Una hardware wallet no mitiga este riesgo: protege las claves privadas, no las aprobaciones ya otorgadas.

La recomendación de Keystone es revisar las aprobaciones activas y revocar las que ya no se usan. Esa sugerencia es dirigida a cualquier usuario que haya interactuado con protocolos de plataformas descentralizadas (DeFi): ingresar al sitio Revoke.cash, conectar su wallet y revisar qué contratos tienen aprobaciones activas para mover sus tokens, indican desde Keystone. Los que ya no se usen deben revocarse manualmente.

Cuando la IA escribe el código vulnerable

Los riesgos de la IA en contratos inteligentes de Ethereum no se limitan a su uso como herramienta de ataque. En febrero de 2025, como reportó KriptoNoticias, el protocolo DeFi Moonwellperdió 1,7 millones de dólares por un error en un contrato inteligente coescrito con Claude Opus, modelo de IA de Anthropic: el sistema registró el precio del activo cbETH en 1,12 dólares en lugar de sus 2.200 dólares reales, lo que permitió que atacantes explotaran la diferencia. El error pasó todas las revisiones humanas sin ser detectado.

Así, el riesgo no es unidireccional y estos casos demuestra que el uso de IA, en manos equívocas, también trae potenciales peligros. En ese sentido, Vitalik Buterin, cofundador de Ethereum, afirmó que la IA podría acelerar significativamente el desarrollo del protocolo Ethereum, pero advirtió que mayor velocidad no implica código más seguro.

Un informe de la empresa argentina Lambda Class va en la misma línea: cuando sistemas de IA operan directamente sobre infraestructura financiera irreversible, los errores no quedan en el plano conceptual, se traducen en pérdidas permanentes. En Ethereum no existe un banco que revierta operaciones.