Los protocolos de finanzas descentralizadas (DeFi) perdieron $92.5 millones en 15 incidentes separados de hacking en abril de 2025. Según el último informe mensual de la firma de seguridad blockchain Immunefi, esto representa un aumento del 27.3% interanual en comparación con abril de 2024 y más del doble de las pérdidas de marzo de 2025, que fueron de $41.4 millones.
Este preocupante aumento refuerza un consenso creciente entre los profesionales de seguridad de que la base técnica de DeFi sigue siendo peligrosamente vulnerable a pesar de años de exploits de alto perfil y advertencias repetidas de expertos en ciberseguridad. Las cifras de abril contribuyen a una estadística aún más preocupante: las pérdidas totales de criptomonedas por hacks y explotaciones en 2025 ya han alcanzado los $1.74 mil millones, superando el total anual completo de 2024 de $1.49 mil millones en solo cuatro meses.
"Lo que estamos presenciando no es solo un aumento temporal, sino una crisis de seguridad fundamental en cómo se diseñan, implementan y mantienen los protocolos descentralizados", explica Maria Chen, investigadora principal de ChainSecurity. "La industria está construyendo una infraestructura financiera cada vez más compleja sobre un código que no ha sido sometido al mismo rigor que los sistemas financieros tradicionales."
Los exploits de abril se dirigieron predominantemente a redes blockchain establecidas, con el 100% de los ataques clasificados como exploits técnicos en lugar de ataques basados en ingeniería social o fraude. Entre los 15 incidentes documentados, varios destacan tanto por su magnitud como por los vectores de ataque sofisticados empleados:
Protocolo UPCX: $70 Millones
La mayor brecha del mes afectó a UPCX, un protocolo de pagos intercadena que había acumulado más de $300 millones en valor total bloqueado (TVL) desde su lanzamiento a finales de 2024. El 12 de abril, los atacantes identificaron una vulnerabilidad crítica en el mecanismo de verificación de mensajes intercadena del protocolo.
Según el análisis forense preliminar de la firma de inteligencia blockchain Chainalysis, la explotación aprovechó un fallo sutil en cómo UPCX validaba las firmas de transacciones a través de diferentes cadenas compatibles con EVM. Los atacantes ejecutaron un ataque de precisión durante un período de alta congestión de la red, eludiendo los pasos de verificación y autorizando retiros fraudulentos de múltiples piscinas de liquidez simultáneamente.
"El ataque a UPCX demuestra cómo los puentes intercadena siguen representando algunas de las infraestructuras más vulnerables en el ecosistema", señala Thomas Walton-Pocock, fundador de Optimism Security Labs. "A pesar de numerosos ejemplos históricos de exploits en puentes que se remontan a los hacks de Wormhole y Ronin de 2022, los proyectos continúan subestimando la complejidad de la mensajería segura intercadena."
UPCX ha anunciado desde entonces un plan de compensación para los usuarios afectados, aunque los detalles siguen pendientes mientras continúan las investigaciones.
KiloEx: $7.5 Millones
KiloEx, un intercambio descentralizado centrado en la negociación de opciones, perdió $7.5 millones el 19 de abril a través de lo que parece ser un ataque sofisticado de manipulación de oráculos de precios. El atacante aprovechó una reducción temporal de liquidez en uno de los mercados de referencia de KiloEx, manipulando el precio percibido de los contratos de opciones KETH/ETH.
Al deprimir artificialmente el precio del oráculo a través de una serie de operaciones coordinadas en múltiples lugares, y luego explotar el mecanismo de liquidación automatizada de KiloEx, el atacante pudo comprar contratos de opciones con grandes descuentos antes de que el precio del oráculo se recuperara.
"Los ataques a los oráculos se están volviendo cada vez más metódicos", observa Samczsun, un investigador de seguridad respetado de Paradigm. "Los atacantes de hoy comprenden la microestructura del mercado y pueden orquestar condiciones que técnicamente no violan las reglas de un sistema individual, pero crean oportunidades de arbitraje explotables a través de protocolos interconectados."
Otros Incidentes Significativos
Los restantes exploits de abril representaron colectivamente $15 millones en pérdidas:
- Loopscale: $5.8 millones perdidos cuando los atacantes explotaron una vulnerabilidad de reentrada en su contrato de préstamo.
- ZKsync: $5.0 millones drenados a través de una falla en un circuito de verificación de pruebas de conocimiento cero.
- Term Labs: $1.5 millones robados mediante valores de retorno no verificados en interacciones de contratos inteligentes.
- Misión Bitcoin: $1.3 millones en BTC envuelto tomados a través de controles de acceso inadecuados.
- The Roar: $790,000 perdidos a través de manipulación de préstamos flash.
- Impermax: $152,000 drenados a través de errores de redondeo precisos en cálculos de recompensas.
- Zora: $140,000 en activos NFT comprometidos a través de manipulación de metadatos.
- ACB: $84,000 perdidos debido a funciones de inicialización sin protección.
Ethereum sigue siendo el objetivo principal
La distribución de ataques a través de redes blockchain revela vulnerabilidades persistentes incluso en ecosistemas establecidos. Ethereum siguió siendo el objetivo principal, representando cinco incidentes (33.3% del total), mientras que BNB Chain experimentó cuatro ataques (26.7%). Base, la solución de capa 2 de Coinbase, vio tres explotaciones significativas (20%), marcando una tendencia preocupante para la red relativamente nueva.
"Los atacantes van donde está el dinero, pero también priorizan las redes con puntos de integración explotables", explica la Dra. Jenna Rodriguez, profesora de criptografía en MIT. "El TVL dominante de Ethereum lo convierte en un objetivo perpetuo, pero estamos viendo una mayor atención en las redes de capa 2 como Base precisamente porque están implementando tecnología novedosa que no ha sido probada en batalla."
Los incidentes restantes afectaron a Arbitrum, Solana, Sonic y ZKsync, indicando que ningún ecosistema blockchain es inmune a las violaciones de seguridad. El único incidente de Solana representa una mejora notable en comparación con años anteriores cuando la red sufrió múltiples exploits de alto perfil.
Contexto histórico
Para apreciar plenamente la gravedad de las cifras de abril, el contexto histórico es esencial. Los datos de Chainalysis y CipherTrace indican que las pérdidas anuales de criptomonedas por hacks han seguido una trayectoria preocupante:
- 2019: $370 millones
- 2020: $520 millones
- 2021: $3.2 mil millones
- 2022: $3.8 mil millones
- 2023: $1.7 mil millones
- 2024: $1.49 mil millones
- 2025 (enero-abril): $1.74 mil millones
El ritmo acelerado de este año sugiere que 2025 podría superar potencialmente el récord establecido en 2022, cuando el colapso de Terra/Luna y el contagio subsiguiente crearon una vulnerabilidad sin precedentes en todo el ecosistema.
"Lo que es particularmente preocupante sobre la ola actual de exploits es que están ocurriendo durante un período de estabilidad del mercado", señala Michael Lewellen, exlíder de seguridad en Aave. "A diferencia de 2022, cuando el caos del mercado y las cascadas de liquidación crearon circunstancias excepcionales, estos ataques están logrando éxitos contra protocolos que operan en condiciones normales."
Primer trimestre de 2025: estableciendo el escenario para el auge de abril
Los exploits de abril se basan en un primer trimestre ya devastador. El año comenzó con uno de los mayores hacks de criptomonedas cuando Bybit, un importante intercambio centralizado, perdió $1.46 mil millones después de que los hackers comprometieran varias claves privadas de monederos calientes. Aunque técnicamente no fue un exploit DeFi, el incidente de Bybit destacó debilidades persistentes en las soluciones de custodia en todo el ecosistema cripto más amplio.
Otros exploits significativos del primer trimestre incluyeron:
- Protocolo Infini: $50 millones perdidos a través de un ataque de arbitraje complejo que involucraba múltiples plataformas de préstamo
- zkLend: $9.5 millones robados a través de un ataque de préstamo flash que manipuló los valores de colateral
- Ionic: $8.5 millones drenados después de que los atacantes obtuvieran acceso a funciones privilegiadas a través de ingeniería social
Combinados con las cifras de abril, estos incidentes pintan un panorama de una industria luchando por asegurarse contra amenazas cada vez más sofisticadas.
La evolución de los vectores de ataque
Los investigadores de seguridad han notado una evolución distinta en las metodologías de ataque a lo largo de 2024 y 2025. Los primeros exploits DeFi a menudo estaban dirigidos a fallos evidentes: funciones administrativas no protegidas, claves codificadas o simples vulnerabilidades de reentrada. Los ataques de hoy demuestran una complejidad significativamente mayor.
"Los exploits modernos de DeFi se dirigen cada vez más a las suposiciones matemáticas subyacentes en el diseño del protocolo en lugar de simples errores de implementación", explica la Dra. Neha Narula, Directora de la Iniciativa de Moneda Digital en MIT. "Los atacantes están encontrando casos extremos en los modelos económicos, explotando desequilibrios temporales a través de múltiples protocolos y aprovechando interacciones sutiles entre sistemas supuestamente independientes."
Los vectores comunes de ataque en los últimos meses incluyen:
Vulnerabilidades de pruebas de conocimiento cero
A medida que se adopta más las soluciones ZK-rollups y de privacidad, han aumentado los ataques dirigidos a sus fundamentos criptográficos. La pérdida de $5 millones de ZKsync en abril ejemplifica cómo incluso los sistemas matemáticamente rigurosos pueden contener fallos explotables en su implementación.
Explotaciones de puentes intercadena
A pesar de años de advertencias, los protocolos de puente que conectan diferentes blockchains siguen siendo vulnerables. La pérdida de $70 millones de UPCX se une a una larga lista de exploits de puentes, incluidos ataques históricos a Wormhole ($320 millones), Ronin ($620 millones) y Nomad ($190 millones).
Manipulación de oráculos
Los ataques a los oráculos de precios se han vuelto cada vez más sofisticados, con atacantes orquestando manipulaciones de mercado complejas en múltiples lugares para distorsionar temporalmente los precios.
Ataques de gobernanza
Aunque no fueron frecuentes en abril, los exploits de mecanismos de gobernanza representan una preocupación creciente. Los ataques recientes han tenido como objetivo los sistemas de votación, permitiendo a los atacantes obtener control de toma de decisiones a través de préstamos flash u otra acumulación temporal de recursos.
Respuesta institucional: La industria se adapta
La industria de la criptomoneda no ha sido pasiva ante los crecientes desafíos de seguridad. Han surgido varias respuestas institucionales:
Estándares de auditoría mejorados
Las principales firmas de auditoría como Trail of Bits, OpenZeppelin y Consensys Diligence han desarrollado metodologías más completas que van más allá de la revisión de código para incluir simulaciones de ataques económicos y análisis formal "We're seeing protocols request much more thorough audits than even a year ago," reports Yan Michalevsky, founder of security firm Ottersec. "Projects are now typically undergoing multiple independent audits, formal verification where applicable, and economic simulations before deployment."
Insurance Solutions
On-chain insurance protocols like Nexus Mutual and InsurAce have expanded their coverage options, though premiums have increased substantially in response to the growing frequency of claims. As of May 2025, approximately $500 million in DeFi assets have some form of exploit coverage—still representing less than 1% of the total TVL across DeFi.
Bug Bounty Escalation
Immunefi reports that bug bounty rewards have increased by an average of 64% year-over-year, with maximum payouts for critical vulnerabilities now regularly exceeding $1 million. In March 2025, a white-hat hacker received $2.5 million for identifying a critical vulnerability in Uniswap V4—the largest bug bounty payment in cryptocurrency history.
Regulatory Attention
Los organismos reguladores de todo el mundo han tomado nota de la crisis de seguridad. El marco de Mercados en Criptoactivos (MiCA) de la Unión Europea, implementado completamente a principios de 2025, ahora requiere que los protocolos DeFi que operan en jurisdicciones europeas cumplan con estándares de seguridad mínimos.
En los Estados Unidos, la SEC ha utilizado las brechas de seguridad como justificación adicional para ejecutar acciones de cumplimiento contra protocolos que se considera están ofreciendo valores no registrados. Recientemente, el presidente de la SEC, Gary Gensler, comentó: "La frecuencia de estos hacks demuestra precisamente por qué las protecciones para inversores deben extenderse a estos nuevos productos financieros."
Technical Prevention: The Road Forward
Security experts broadly agree on several necessary technological improvements to address the root causes of DeFi vulnerabilities:
Formal Verification
Las técnicas de verificación formal, que prueban matemáticamente la corrección del código según especificaciones, son cada vez más vistas como esenciales para los componentes principales del protocolo. Aunque demandantes de recursos, la verificación formal puede eliminar clases enteras de vulnerabilidades.
"La industria necesita avanzar más allá del modelo de auditar y lanzar hacia garantías de seguridad matemáticamente probadas," argumenta Manuel Araoz, fundador de Zeppelin Solutions. "Para protocolos que manejan miles de millones en fondos de usuarios, nada menos que la verificación formal debería ser aceptable."
Decentralized Security Monitoring
Los sistemas de monitoreo en tiempo de ejecución que pueden detectar patrones anómalos de transacción están ganando tracción. Protocolos como Forta Network proporcionan monitoreo descentralizado que puede señalar actividades sospechosas a través de múltiples cadenas, potencialmente permitiendo respuestas de emergencia más rápidas.
Timelocks and Circuit Breakers
Implementar demoras obligatorias para movimientos significativos de fondos y la suspensión automática de protocolos durante condiciones anómalas podría mitigar el impacto de futuros exploit.
Standardized Security Frameworks
Varios grupos de la industria están desarrollando marcos de seguridad estandarizados específicos para DeFi, incluyendo la Alianza de Seguridad DeFi de Open Zeppelin y el Consorcio de Seguridad de Contratos Inteligentes de la Fundación Ethereum.
Balancing Innovation and Security
Las cifras de exploits de abril de 2025 ofrecen un recordatorio contundente de que los desafíos de seguridad de la criptomoneda siguen siendo tan urgentes como siempre. Con pérdidas acumuladas en el año de $1.74 mil millones superando ya todo el 2024, la industria enfrenta un punto de inflexión crítico.
"El desafío fundamental que enfrenta DeFi no es técnico: es cultural," concluye la Dra. Narula. "La industria prioriza la velocidad de innovación sobre la seguridad, y hasta que ese equilibrio cambie, continuaremos viendo estos titulares."
Para que DeFi logre la adopción generalizada y la participación institucional, las prácticas de seguridad deben madurar para igualar la enorme responsabilidad financiera que estos protocolos han asumido. La innovación sin restricciones que ha impulsado la rápida evolución de la criptomoneda debe equilibrarse con prácticas de seguridad rigurosas apropiadas para una infraestructura financiera que maneja miles de millones en fondos de usuarios.
A medida que la industria entra en el segundo tercio de 2025, todas las miradas estarán puestas en si los protocolos pueden implementar medidas de seguridad más robustas sin sacrificar la apertura y la composabilidad que hacen a DeFi revolucionario. El resultado de este desafío técnico y cultural probablemente determinará si las finanzas descentralizadas se convierten en un sistema financiero global transformador o permanecen perpetuamente vulnerables a la explotación.