Temporadas
Tabla de clasificación
Noticias
Aprender
Investigación
Clasificación
Ecosistema
Cartera
yellow banner logo
TRADING
PLATAFORMA YA DISPONIBLE
COMENZAR AHORA
yellow shooting stars
background stars

La crisis de seguridad de Web3 en 2026: por qué los mayores hacks ya no son solo fallos en contratos inteligentes

profile-alexey-bondarev
Alexey Bondarevhace 3 horas
#Web3 #DeFi #Hackers
La crisis de seguridad de Web3 en 2026: por qué los mayores hacks ya no son solo fallos en contratos inteligentes

La industria cripto perdió un récord de 3.4 mil millones de dólares por hacks en 2025, pero la historia definitoria no trata de código Solidity con errores. Se trata de laptops de desarrolladores comprometidas, credenciales de la nube robadas, campañas de ingeniería social que duran meses y monederos multisig sin timelocks.

TL;DR

  • Los fallos de infraestructura y operativos impulsaron el 76% de todas las pérdidas por hacks cripto en 2025, mientras que los exploits de smart contracts representaron solo el 12%
  • Hackers norcoreanos patrocinados por el Estado robaron 2.02 mil millones de dólares en 2025, aproximadamente el 60% de todo el robo cripto global, usando tácticas de espionaje en lugar de explotación de código
  • Las auditorías, recompensas por bugs y la calidad del código on-chain están mejorando, pero la superficie de ataque se ha expandido mucho más allá de lo que estas herramientas cubren

Las cifras muestran que el problema se hace más grande, no más estrecho

Múltiples firmas de seguridad converge en la misma conclusión: 2025 fue el año más costoso en la historia de la seguridad cripto. Chainalysis reportó 3.4 mil millones de dólares en fondos robados, un aumento del 55% desde 2.2 mil millones en 2024. CertiK documented 3.35 mil millones de dólares en 630 incidentes. Hubo menos ataques que en 2024, pero el pago promedio por incidente se disparó un 66.6% hasta 5.32 millones de dólares.

La concentración de datos es extrema. Los tres mayores hacks de 2025 representaron el 69% de todas las pérdidas a nivel de servicios. La brecha de Bybit por sí sola arrebató 1.46 mil millones de dólares el 21 de febrero de 2025, lo que representa aproximadamente el 43% del robo de todo el año.

Si se elimina Bybit, las pérdidas de 2025 caen aproximadamente a entre 1.5 y 1.9 mil millones de dólares. Eso sigue siendo elevado, pero más cercano a los niveles de 2024.

The pattern reveals an industry where systemic security has improved for the average protocol, while catastrophic tail risks from infrastructure compromise have grown far worse.

El primer trimestre de 2025 fue el peor trimestre en la historia de las criptomonedas. Immunefi tracked 1.64 mil millones de dólares en 40 incidentes, un aumento de 4.7x frente a los 348 millones del primer trimestre de 2024. CeFi representó el 94% de las pérdidas de ese trimestre, impulsado solo por dos incidentes: Bybit y Phemex (85 millones de dólares).

Las pérdidas en DeFi en realidad cayeron un 69% interanual en el primer trimestre. La seguridad del código on-chain mejoró genuinamente, incluso mientras la seguridad operacional colapsaba.

Los datos de principios de 2026 shows que la tendencia continúa. CertiK reportó 501 millones de dólares en pérdidas en el primer trimestre de 2026 en 145 eventos. El hack de Drift Protocol el 1 de abril de 2026 drenó 285 millones en 12 minutos mediante una operación de ingeniería social de seis meses. Los ataques sofisticados dirigidos a humanos siguen siendo el vector de amenaza principal al entrar en 2026.

Also Read: Why The U.S. Treasury Is Now Sharing Cyber Threat Data With Crypto Firms

Makina Finance loses millions in Ethereum flash loan oracle exploit (Image: Shutterstock)

Los bugs de smart contracts siguen importando, pero ya no son toda la historia

Las vulnerabilidades en smart contracts remain la mayoría de los incidentes por número, representando el 54.5% de todos los exploits. Varios hacks significativos a nivel de código en 2025 y 2026 demostraron que los riesgos tradicionales on-chain persisten y siguen evolucionando.

El hack de Cetus Protocol (223 millones de dólares, 22 de mayo de 2025) fue un error de lógica de libro de texto. Un desbordamiento de enteros en una biblioteca matemática compartida llamada "integer-mate" hizo que una comprobación de desbordamiento fallara silenciosamente. El atacante minted enormes posiciones de liquidez a un costo insignificante.

Cetus había sido auditado tres veces por MoveBit, OtterSec y Zellic. La auditoría de Zellic no encontró problemas más allá de elementos informativos. La vulnerabilidad existía en una dependencia de terceros en lugar del propio código de Cetus, lo que ilustra cómo los ecosistemas componibles heredan riesgos de todo su grafo de dependencias.

Otros exploits notables de smart contracts incluyen:

  • La reentrancia de GMX v1 (42 millones de dólares, julio de 2025), que demuestra que la reentrancia sigue cobrando víctimas mediante variantes más nuevas entre contratos
  • El exploit de redondeo de Balancer (entre 70 y 128 millones de dólares, noviembre de 2025), que acumuló pequeños errores de redondeo a través de cientos de intercambios por lotes en una clase de ataque económico que las auditorías estándar pasan por alto por completo
  • La violación de invariantes de Yearn Finance (9 millones de dólares, diciembre de 2025), donde un fallo en el cálculo de participaciones derrotó tanto a las herramientas de análisis estático como a los fuzzers

La distinción crítica: los exploits de smart contracts tienden a producir pérdidas menores por incidente. TRM Labs calculated un promedio de 6.7 millones de dólares por exploit de código frente a 48.5 millones por ataque de infraestructura. La industria se ha vuelto significativamente mejor escribiendo código on-chain seguro. Pero ese progreso queda ensombrecido por la escala catastrófica de los fallos operativos.

Also Read: Stablecoin Volume Could Hit $1.5 Quadrillion By 2035, Chainalysis Report Shows

La capa humana: cómo la ingeniería social se convirtió en un exploit cripto de primera categoría

Los hackers norcoreanos patrocinados por el Estado representan la mayor amenaza individual para la industria cripto. Chainalysis attributed 2.02 mil millones de dólares en robo cripto en 2025 a actores de la RPDC, un aumento del 51% desde 1.34 mil millones en 2024 y aproximadamente el 60% de todo el robo cripto global. El total acumulado de todos los tiempos alcanzó 6.75 mil millones al cierre de 2025.

Lo que hace distintivas a estas operaciones es su paciencia.

El ataque a Drift Protocol began con presentaciones en conferencias en el otoño de 2025, avanzó a través de meses de construcción de relaciones e incluyó el depósito de más de 1 millón de dólares de capital propio de los atacantes para establecer credibilidad. El drenaje final tomó 12 minutos.

Las tácticas de la RPDC se han diversificado mucho más allá del hackeo directo:

  • La campaña "Contagious Interview" targets a desarrolladores mediante ofertas de trabajo falsas en LinkedIn y bolsas de trabajo cripto, desplegando retos de código troyanizados que instalan puertas traseras
  • Una empresa fabricada llamada "Veltrix Capital" distribuyó paquetes maliciosos de npm diseñados para comprobar específicamente la presencia de extensiones MetaMask en el navegador
  • En mayo de 2025, el equipo de seguridad de Kraken identified a un operativo norcoreano que solicitaba un puesto de ingeniería usando el alias "Steven Smith", con cambios de voz durante la entrevista que sugerían entrenamiento en tiempo real
  • El programa de infiltración de trabajadores de TI genera entre 250 y 600 millones de dólares anuales según estimaciones de la ONU, y ZachXBT descubrió una red de 390 cuentas que generaba aproximadamente 1 millón mensual

La brecha de Coinbase (mayo de 2025) demonstrated un enfoque diferente de ingeniería social. Contratistas de soporte al cliente en el extranjero, sobornados, exfiltraron datos personales de 69,000 usuarios, lo que permitió estafas de phishing posteriores con un impacto estimado entre 180 y 400 millones de dólares. Los smart contracts nunca fueron tocados.

Also Read: Cardano Defies Bearish Trend With Record Transactions And Surging Whale Interest

Claves, multisigs y nube: la centralización oculta dentro de Web3

La centralización oculta de Web3 es quizás el riesgo sistémico más subestimado de la industria. Halborn found en su análisis de los 100 principales hacks DeFi que solo el 19% de los protocolos hackeados usaban monederos multisig y solo el 2.4% empleaba almacenamiento en frío. Los ataques off-chain representaron el 80.5% de los fondos robados en su conjunto de datos.

Trail of Bits published en junio de 2025 un marco de madurez que describe cuatro niveles de control de acceso a smart contracts. El nivel 1 usa una sola cuenta de propiedad externa, lo que significa que una clave privada comprometida equivale a pérdida total. El nivel 2 usa una multisig centralizada pero mantiene un único punto de control. Los niveles 3 y 4 añaden timelocks, separación de roles y, en última instancia, inmutabilidad radical.

The Bybit, WazirX and Radiant Capital hacks all exploited Level 2 architectures. The Drift Protocol hack exposed another centralization failure: a 2-of-5 multisig with zero timelocks on any administrative functions.

La infraestructura en la nube introduce otro vector de centralización. El hack de Resolv Labs (25 millones de dólares, marzo de 2026) involved un compromiso de AWS Key Management Service.

El atacante accedió al entorno en la nube donde se almacenaba una clave de firma privilegiada y luego la usó para acuñar 80 millones de tokens de stablecoin sin respaldo.

Resolv había pasado 18 auditorías independientes de smart contracts y mantenía una recompensa por bugs de 500,000 dólares en Immunefi. Ninguna de ellas cubría las políticas de IAM de AWS.

Muchos protocolos "descentralizados" dependen por completo de proveedores de infraestructura centralizados para sus interfaces de cara al usuario. El frontend de Safe{Wallet} estaba alojado en AWS S3/CloudFront sin hashing de Subresource Integrity para detectar modificación de código. Esa brecha permitió el ataque a Bybit.

Also Read: [Bloomberg Strategist Predicts Tether Will } Overtake Both Bitcoin And Ethereum By Market Cap

El problema del frontend: cuando los usuarios son hackeados antes de que se toque la blockchain

Una categoría creciente de ataques se dirige a los frontends web de los protocolos DeFi en lugar de a sus contratos on-chain. En todos los casos documentados, los contratos inteligentes permanecieron seguros y operativos. La vulnerabilidad estaba totalmente en la capa de infraestructura Web2 que conecta a los usuarios con esos contratos.

Curve Finance sufrió un secuestro de DNS el 12 de mayo de 2025 cuando los atacantes obtuvieron acceso al registrador de dominios iwantmyname y modificaron la delegación de DNS para redirigir el tráfico a un sitio estático malicioso de señuelo.

Durante la caída del frontend, los contratos inteligentes de Curve procesaron más de 400 millones de dólares en volumen on-chain, demostrando que los contratos funcionaban perfectamente mientras el frontend era utilizado como arma.

Este fue el segundo ataque de DNS a Curve a través del mismo registrador. Posteriormente, Curve migró al dominio curve.finance y abogó por la adopción de ENS en la industria.

Aerodrome y Velodrome (21 de noviembre de 2025) perdieron aproximadamente 700.000 dólares cuando el secuestro de DNS redirigió a los usuarios a sitios de phishing. MetaMask y Coinbase Wallet mostraron advertencias en un plazo de dos minutos desde la primera transacción maliciosa, pero los usuarios que interactuaron antes de las advertencias perdieron fondos.

Ataques adicionales de DNS golpearon a Arrakis Finance (enero de 2025), OpenEden (febrero de 2026) y Neutrl (marzo de 2026).

Se confirmó que el ataque a Neutrl se originó en un ataque de ingeniería social al propio proveedor de DNS.

El patrón es coherente: comprometer el registrador de dominio, modificar los registros DNS, redirigir a los usuarios a un clon de phishing, recolectar aprobaciones de monedero y drenar los activos. Los registradores de dominios funcionan como puntos únicos de fallo centralizados para protocolos nominalmente descentralizados.

También lea: Cloudflare Follows Google, Sets 2029 Deadline To Go Quantum-Proof

Network reverses blockchain rollback decision following developer backlash over $3.9 million exploit (Image: Shutterstock)

Por qué las auditorías ya no son suficientes

Las auditorías estándar de contratos inteligentes cubren vulnerabilidades a nivel de código: reentrancy, overflow, errores de control de acceso y patrones de vulnerabilidad conocidos.

Normalmente no cubren la seguridad del frontend y la interfaz de usuario, la infraestructura de API y backend, la gestión de claves de administrador, vectores de ingeniería social, ataques a la cadena de suministro de dependencias, seguridad de DNS y dominios, ni la corrección del modelo económico.

Trail of Bits afirmó explícitamente en junio de 2025 que los ataques a claves privadas son un vector emergente que las auditorías y concursos de contratos inteligentes de alcance estrecho pasan por alto con frecuencia. La firma señaló que las empresas de auditoría nativas de blockchain rara vez señalan problemas arquitectónicos de control de acceso como hallazgos formales.

Las pruebas son extensas:

  • Cetus Protocol superó tres auditorías de firmas reputadas antes de perder 223 millones de dólares por un error en una biblioteca matemática de terceros
  • Resolv Labs pasó 18 auditorías independientes antes de perder 25 millones de dólares por un compromiso de la infraestructura de AWS
  • El proveedor de monederos de Bybit, Safe{Wallet}, fue auditado exhaustivamente, pero la vulnerabilidad fue el portátil comprometido de un desarrollador
  • El exploit de redondeo de Balancer acumulaba errores de redondeo sub-wei a lo largo de secuencias de intercambios por lotes adversariales, una clase de ataque que las pruebas estándar por operación no pueden detectar

Las auditorías siguen siendo valiosas. Los protocolos no auditados enfrentan aproximadamente un 70% de probabilidad de ser explotados en su primer año frente a un 15%–20% para los auditados. Pero la dependencia de la industria en el sello de “auditado por X” como certificación de seguridad caracteriza de forma fundamentalmente errónea lo que las auditorías realmente validan. Son instantáneas puntuales de corrección del código, no evaluaciones de seguridad integrales.

También lea: Bitcoin Can Be Made Quantum-Safe Without An Upgrade, But There's A Catch

Cómo luce un diseño más seguro después de la ola de hackeos de 2026

Vyper, el lenguaje de contratos inteligentes “pythónico” creado por Vitalik Buterin en 2017, encarna una filosofía de seguridad mediante la simplicidad que contrasta marcadamente con la riqueza de funcionalidades de Solidity. Vyper excluye deliberadamente la herencia, los modificadores, la sobrecarga de operadores y el ensamblador en línea.

Proporciona comprobación automática de overflow, decoradores integrados de no reentrancy, arrays con validación de límites y tipado estricto.

Actualmente, más de 7.959 contratos en Vyper aseguran más de 2.300 millones de dólares en valor total bloqueado.

El lenguaje enfrentó su propia crisis de seguridad en julio de 2023 cuando una vulnerabilidad en el guard de reentrancy en versiones antiguas del compilador permitió el exploit de Curve Finance. La respuesta fue sistemática: 12 auditorías con firmas como ChainSecurity y OtterSec, dos expertos en seguridad contratados a tiempo completo, dos programas de recompensas por bugs y un sistema de monitoreo de contratos que indexa 30.000 contratos en 23 cadenas.

El desarrollo se ha mantenido activo durante 2025 y 2026. La versión 0.4.2 “Lernaean Hydra” (mayo de 2025) prohibió notablemente llamar funciones no reentrantes desde dentro de funciones no reentrantes, eliminando toda una clase de vulnerabilidades potenciales.

Entre los grandes adoptantes se incluyen Curve Finance, Yearn Finance V3 y Velodrome/Aerodrome.

La filosofía de diseño de Vyper, según la cual las funciones que eliminas importan más que las que añades, se alinea con el consenso de seguridad emergente. Cuando los vectores de ataque dominantes son humanos y operativos más que de nivel de código, un lenguaje que produce código más legible y auditable ofrece ventajas estructurales reales.

También lea: Only 10% Of New CEX Tokens Survive Their First Year, CoinGecko Data Reveals

Cultura de seguridad vs teatro de seguridad en Web3

Las recompensas por bugs han emergido como una de las defensas más rentables. Immunefi ha pagado más de 112 millones de dólares en recompensas totales a través de más de 3.000 informes de bugs validados. Los informes de gravedad crítica representan el 87,8% de todos los pagos. La plataforma afirma haber protegido más de 190.000 millones de dólares en fondos de usuarios.

La economía resulta convincente. El total de recompensas pagadas hasta ahora (112 millones de dólares) representa aproximadamente el 3,3% de las pérdidas por hackeos solo en 2025. Incluso un único exploit prevenido generaría un retorno de inversión enorme. Los programas activos de recompensas ahora alcanzan una escala significativa, con Usual ofreciendo un máximo de 16 millones de dólares en Sherlock y Uniswap v4 ofreciendo 15,5 millones en Immunefi.

Las plataformas competitivas de auditoría han evolucionado en paralelo a las recompensas tradicionales. Code4rena organiza concursos con 16.600 investigadores registrados y aproximadamente 100 participantes por auditoría.

Sherlock opera un modelo de ciclo completo que combina concursos de auditoría, recompensas por bugs y cobertura de seguros, habiendo asegurado más de 100.000 millones de dólares en valor total bloqueado.

Sin embargo, las recompensas por bugs comparten una limitación fundamental con las auditorías. Los datos de Immunefi muestran que el 77,5% de los pagos se destinan al descubrimiento de bugs en contratos inteligentes. Los vectores de ataque más dañinos de 2025, incluidos los compromisos de la cadena de suministro, la ingeniería social y las brechas de infraestructura, quedan en gran medida fuera del alcance de lo que los investigadores de recompensas pueden probar.

La industria necesita estructuras de incentivos equivalentes para la evaluación de la seguridad operacional. La revisión de código por sí sola ya no se corresponde con el origen real de las pérdidas.

También lea: Gemini Survey Reveals 51% Of Gen Z Adults Worldwide Own Crypto

Qué deberían hacer de forma diferente usuarios, desarrolladores e inversores en 2026

Los datos de 2025 y 2026 dejan claro que la seguridad debe ir mucho más allá de las auditorías de contratos inteligentes para abarcar toda la pila operativa.

Para los desarrolladores de protocolos, la postura mínima viable de seguridad ahora incluye:

  • Monederos multisig con timelocks en todas las funciones administrativas
  • Control de acceso basado en roles con el principio de privilegio mínimo
  • Firmas con hardware wallet para todas las operaciones privilegiadas
  • Monitoreo continuo de cambios de permisos, actualizaciones y transferencias de alto valor
  • Hashing de Subresource Integrity para todo el código del frontend, además de DNSSEC y la consideración de alternativas hospedadas en ENS frente a registradores de dominios centralizados

La seguridad de la cadena de suministro requiere fijar dependencias, limitar la proliferación de paquetes, bloquear las canalizaciones de CI/CD con credenciales de corta duración y verificar los artefactos de las versiones. Los planes de respuesta a incidentes deben probarse con simulacros, no redactarse y dejarse en un cajón.

Para los usuarios, las defensas prácticas son sencillas. Las hardware wallets siguen siendo esenciales para cualquier tenencia significativa. Las herramientas de simulación de transacciones como Pocket Universe afirman tener 180.000 usuarios y más de 1.000 millones de dólares en fondos protegidos.

La revocación periódica de aprobaciones ilimitadas de tokens, marcar en favoritos las URL de confianza en lugar de seguir enlaces, y mantener monederos separados reducen el radio de impacto de una sola firma comprometida.

La lección de firma ciega del hackeo de Bybit también se aplica a los individuos. Verifique siempre los detalles de la transacción en el propio dispositivo de firma, no solo en la interfaz que solicita la firma.

Para los inversores que evalúan protocolos, la etiqueta “auditado por X” es necesaria pero radicalmente insuficiente. Los indicadores de seguridad significativos incluyen múltiples auditorías de firmas diversas, programas activos de recompensas por bugs con recompensas significativas, configuraciones de multisig transparentes con distribución geográfica, timelocks en las actualizacionesfunctions visible on-chain, and demonstrated incident response capability.

La ausencia de estos indicadores debería funcionar como señales de alerta explícitas independientemente del historial de auditorías.

Also Read: From Joke To ETF? PEPE's Wall Street Moment Raises Big Questions

Conclusión

El panorama de la seguridad cripto de 2025 y 2026 revela una paradoja. La tecnología se está volviendo más segura mientras que la industria está perdiendo más dinero que nunca.

Las pérdidas por exploits de contratos inteligentes han disminuido a medida que la calidad del código on-chain mejora gracias a mejores herramientas, más auditorías, plataformas de revisión competitiva y un diseño de lenguajes conscientes de la seguridad como Vyper. Pero este progreso se ha visto sobrepasado por una rápida escalada de ataques a la infraestructura y las operaciones.

Los modelos de seguridad basados únicamente en la revisión de código ahora abordan aproximadamente el 12% de la exposición real a pérdidas. El 88% restante reside en los portátiles de los desarrolladores, credenciales de AWS, registradores de dominios, dispositivos de firmantes de multisig, procesos de contratación de empleados y pipelines de despliegue del frontend. Estos son problemas de Web2 que requieren defensas de Web2 aplicadas a organizaciones Web3 que a menudo carecen de la cultura de seguridad institucional necesaria para implementarlas.

Los protocolos que sobrevivan a la próxima ola de ataques patrocinados por estados serán aquellos que aseguren no solo su código, sino también a su gente, su infraestructura y sus supuestos de confianza como un sistema conectado. Cualquier cosa menos que eso es teatro de seguridad disfrazado de marca de descentralización.

Read Next: The U.S. Is Redefining Stablecoins — Here's What The New Rules Do

Descargo de responsabilidad y advertencia de riesgos: La información proporcionada en este artículo es solo para propósitos educativos e informativos y se basa en la opinión del autor. No constituye asesoramiento financiero, de inversión, legal o fiscal. Los activos de criptomonedas son altamente volátiles y están sujetos a alto riesgo, incluido el riesgo de perder toda o una cantidad sustancial de su inversión. Operar o mantener activos cripto puede no ser adecuado para todos los inversores. Las opiniones expresadas en este artículo son únicamente las del autor/autores y no representan la política oficial o posición de Yellow, sus fundadores o sus ejecutivos. Siempre realice su propia investigación exhaustiva (D.Y.O.R.) y consulte a un profesional financiero licenciado antes de tomar cualquier decisión de inversión.
Artículos de investigación relacionados
Las mayores explotaciones cripto de 2025–2026: qué salió realmente mal
Análisis de las mayores explotaciones cripto de 2025–2026, incluyendo fallos de confianza, proveedores y contratos inteligentes.
Por qué los exploits en DEX costaron 3,1 mil millones de dólares en 2025: análisis de 12 grandes ataques
Oct 27, 2025
Análisis de 12 exploits en DEX en 2025 con pérdidas de 3,1 mil millones de dólares. Por qué fallan protocolos auditados y cómo se repiten estos ataques.
Trading fuera de la cadena vs. en la cadena: ¿Qué está moviendo las criptomonedas de los CEX a los DEX?
Los DEX ganan cuota frente a los CEX gracias a menor costo en Capa 2, nuevas infraestructuras on-chain y desconfianza por riesgos de custodia centralizada.
¿Qué Billetera EVM Deberías Usar en 2025? Las 13 mejores opciones seguras, multi-cadena y para principiantes
Guía completa de billeteras EVM actuales: evolución, factores de evaluación, opciones destacadas, riesgos de seguridad y tendencias emergentes.
Las 10 principales plataformas DeFi de yield farming en 2026
Análisis de las 10 mayores plataformas DeFi de yield farming en 2026, incluyendo TVL, rendimientos, riesgos y estrategias clave.
La crisis de seguridad de Web3 en 2026: por qué los mayores hacks ya no son solo fallos en contratos inteligentes | Yellow.com