¿Las auditorías no son suficientes? Se pierden 3.3 mil millones de dólares en proyectos DeFi auditados, revelan datos

Las auditorías importan, pero no son un escudo mágico. Esa es la conclusión contundente de un hilo reciente de la plataforma de análisis de datos blockchain Sentora, acompañado de un gráfico de barras que desglosa miles de millones perdidos en hacks y exploits en DeFi. Los datos abarcan de 2020 a 2025 (excluyendo el colapso de Terra) y plantean un punto claro e incómodo: incluso los proyectos que pagaron por revisiones de seguridad perdieron cantidades importantes de dinero.

“Las auditorías son esenciales para DeFi, pero no una garantía,” escribió Sentora. “Los proyectos auditados vieron pérdidas superiores a $3.3B entre ’20–’25, impulsadas por rug pulls, compromisos de claves privadas y cambios posteriores a la auditoría. Las auditorías en DeFi son la línea base, pero una gestión de riesgos efectiva aún requiere monitoreo activo del riesgo.”

El gráfico adjunto, que clasifica las pérdidas por auditor, muestra que los proyectos no auditados sufrieron el golpe más grande, aproximadamente en el rango de $5 mil millones, pero también demuestra que los proyectos auditados y firmas reconocidas como Certik, NCC Group y Trail of Bits están lejos de ser inmunes.

Un problema en capas

Tomando en conjunto, las visualizaciones y el resumen de Sentora esbozan un problema en capas. Una parte es la obvia: los proyectos que omitieron auditorías o recortaron costos pagaron por ello. Otra parte, igualmente importante, es que las auditorías en sí son instantáneas, a menudo realizadas antes de ediciones de código de último minuto, cambios en la gobernanza o la introducción de nuevas claves de administrador.

Esas modificaciones posteriores a la auditoría, junto con ataques de ingeniería social que capturan claves privadas y rug pulls maliciosos por parte de insiders, representan una gran parte de los $3.3 mil millones en pérdidas que Sentora señaló para proyectos auditados. El gráfico también destaca una categoría intermedia, una larga cola de auditores más pequeños agrupados como “Otros (68),” que en conjunto representan una parte sustancial de las pérdidas.

Eso sugiere que el problema no es solo si un proyecto fue auditado, sino la calidad y exhaustividad de la auditoría, el alcance del auditor y lo que sucede después de que se emite el informe. Una auditoría que pasa por alto supuestos críticos de diseño, o un equipo que ignora las mitigaciones recomendadas, deja la puerta abierta.

Los profesionales de seguridad llevan años diciendo que una sola auditoría debe considerarse el inicio de un programa de seguridad, no la línea de meta. La monitorización continua, despliegues escalonados, controles multisignature, timelocks en funciones privilegiadas, programas proactivos de bug bounty y productos de seguros son parte de un enfoque más resiliente.

El mensaje de Sentora refuerza que las auditorías establecen un estándar mínimo, pero los equipos e inversores deben agregar capas de protección y mantener la vigilancia. Para un ecosistema DeFi que valora la composabilidad y la rápida iteración, la tensión es real. Los desarrolladores quieren lanzar funciones y pivotar rápidamente; los auditores necesitan alcance y tiempo para ser exhaustivos; los atacantes buscan las breves ventanas entre ellos.

La conclusión de los datos es simple e incómoda; gastar en auditorías seguirá siendo necesario, pero la comunidad también necesita una mejor disciplina post-auditoría y salvaguardas operativas si quiere reducir las pérdidas de manera significativa.

El hilo y el gráfico de Sentora son un recordatorio de que la seguridad en DeFi es un proceso, no un certificado. Las auditorías ayudan a detectar problemas, pero no evitan que ocurran. Hasta que los equipos traten la seguridad como un trabajo continuo en lugar de una casilla que marcar, los números principales seguirán creciendo.