Vera: auditoría de smart contracts con IA, sin intermediarios
Vera es una herramienta open-source que permite auditar smart contracts usando IA de forma autónoma, sin depender de firmas de auditoría externas ni procesos de revisión manuales.
Auditar un smart contract antes de desplegarlo en producción puede costar entre 10.000 y 50.000 euros si se contrata a una firma especializada. Para proyectos pequeños o equipos sin respaldo de capital riesgo, ese coste es directamente prohibitivo. Vera, una herramienta open-source presentada esta semana en Hacker News, intenta reducir esa barrera permitiendo que cualquier equipo ejecute un proceso de auto-auditoría asistida por IA directamente sobre su propio código.
El proyecto está disponible en vera.apostro.xyz y se enmarca en una tendencia más amplia: usar modelos de lenguaje grandes para detectar vulnerabilidades en código antes de que lleguen a manos de un auditor humano, o incluso como sustituto parcial cuando ese auditor no es viable económicamente.
Qué hace Vera exactamente
Vera analiza contratos escritos en Solidity (y, según la documentación del proyecto, con soporte experimental para otros lenguajes EVM) buscando patrones de vulnerabilidad conocidos: reentrancy, integer overflow, acceso incorrecto a funciones administrativas, dependencias inseguras de timestamps, entre otros. La herramienta genera un informe estructurado que clasifica los hallazgos por severidad y ofrece sugerencias de corrección.
Lo relevante desde el punto de vista técnico es que Vera no depende de un servicio SaaS externo ni de una API propietaria con datos enviados a terceros. El análisis corre localmente o en la infraestructura propia del equipo, lo que resuelve un problema frecuente en entornos con requisitos de confidencialidad sobre el código pre-lanzamiento.
El proyecto no especifica públicamente qué modelo de lenguaje utiliza por debajo —la documentación habla de configuración flexible—, por lo que en teoría es compatible con distintos backends. Para equipos que ya trabajan con Claude Code y servidores MCP, la integración como herramienta externa dentro de un flujo de agente es técnicamente directa, aunque no existe aún un plugin oficial en el marketplace.
Por qué importa este enfoque
El ecosistema de auditoría de contratos inteligentes ha tenido históricamente dos velocidades: proyectos con financiación suficiente para pagar revisiones exhaustivas, y proyectos que se lanzan sin auditoría y asumen el riesgo. Las consecuencias del segundo caso están bien documentadas; los exploits en contratos sin auditar han acumulado pérdidas de cientos de millones de dólares en los últimos años.
Herramientas como Slither (de Trail of Bits) o MythX llevan años cubriendo parte de este espacio mediante análisis estático clásico. La diferencia que aportan las herramientas basadas en LLM es la capacidad de razonar sobre lógica de negocio, no solo sobre patrones sintácticos. Un analizador estático detecta un reentrancy obvio; un modelo de lenguaje puede identificar que la lógica de liquidación de un protocolo DeFi tiene condiciones de carrera que solo emergen en combinaciones concretas de llamadas.
Eso no significa que Vera —ni ninguna herramienta similar— reemplace una auditoría profesional en contratos que van a manejar volúmenes significativos de valor. Pero sí puede actuar como primera línea de defensa, especialmente durante el desarrollo, antes de que el código esté listo para revisión externa.
Para quién tiene sentido usarlo ahora
El perfil más claro de usuario es el desarrollador Solidity individual o el equipo pequeño que quiere un ciclo de feedback rápido sobre seguridad sin salir de su entorno de trabajo. También encaja bien en pipelines de CI/CD: ejecutar Vera como paso previo al despliegue en testnet añade una capa de revisión automatizada con coste marginal cero.
Para equipos que trabajan con Claude Code, merece la pena explorar si Vera puede configurarse como subagente o integrarse vía hook en el evento `PostToolUse` tras modificaciones de contratos, de modo que la auditoría se lance automáticamente cada vez que el agente escribe o modifica un archivo `.sol`.
El proyecto acaba de aparecer en Hacker News con apenas un puñado de puntos y ningún comentario en el momento de su publicación, lo que indica que está en una fase muy temprana de adopción. La documentación es funcional pero escueta, y no hay aún casos de uso documentados por terceros.
---
Opinión EP: Vera llega a un espacio con necesidad real y propuesta técnica razonable. Que sea open-source y ejecutable localmente son decisiones de diseño que importan en este contexto. El siguiente indicador a seguir es si la comunidad de seguridad en Web3 lo adopta como herramienta complementaria o lo descarta como ruido; ese veredicto tardará unos meses en llegar.
Fuentes
Seguir leyendo
COOCON entra en AAIF para conectar pagos y MCP en agentes IA
La fintech coreana COOCON se une a la fundación global AAIF con el objetivo de integrar pagos y negocio de datos basado en MCP dentro del ecosistema de agentes IA.
Webull lanza un servidor MCP para trading con IA
El bróker Webull integra el Model Context Protocol de Anthropic para que agentes de IA accedan a datos de mercado en tiempo real desde sus flujos de trabajo.
Sistemas agénticos en .NET: MCP llega al ecosistema Microsoft
Visual Studio Magazine publica una guía práctica para construir agentes con MCP en .NET, señal de que el protocolo de Anthropic ha cruzado las fronteras del ecosistema Python.