Los hacks de criptomonedas en 2025 y principios de 2026 exceeded todos los registros anuales previos por valor en dólares, con pérdidas que alcanzaron hasta 3.400 millones de dólares en un panorama de bugs en contratos inteligentes, compromisos de la cadena de suministro, manipulación de oráculos, robo de claves y sabotaje político que, en conjunto, dejaron al descubierto cómo los puntos de confianza concentrados —no solo el mal código— siguen siendo la vulnerabilidad más peligrosa de la industria.
El estado de los hacks cripto en 2025–2026
Las cifras son difíciles de refutar, aunque varían según la metodología.
Chainalysis estimated que el robo total de cripto en 2025 alcanzó los 3.400 millones de dólares, lo que lo convierte en el peor año registrado. TRM Labs y TechCrunch reported por separado una cifra de 2.700 millones de dólares. CertiK published su recuento del primer semestre de 2025 en 2.470 millones de dólares a lo largo de 344 incidentes, superando ya el total de pérdidas netas de todo 2024, que fue de 1.980 millones de dólares.
Como contexto, TRM Labs calculated que en todo 2024 se robaron 2.200 millones de dólares. Eso significa que solo los primeros seis meses de 2025 superaron todo el año anterior.
Lo que hace distintivo este periodo no es el número de incidentes. Es la concentración.
Immunefi reported que el primer trimestre de 2025 fue el peor de la historia para los hacks cripto, con 1.640 millones de dólares perdidos en solo 40 eventos, un aumento de 4,7 veces respecto al primer trimestre de 2024. Solo dos incidentes, Bybit y Cetus, representaron aproximadamente 1.780 millones de dólares, o el 72 % del total del primer semestre según CertiK.
Las categorías de ataque no han cambiado mucho. Explotaciones de contratos inteligentes, manipulación de oráculos, compromiso de claves privadas, fallos operativos en exchanges y ciberataques patrocinados por estados siguen presentes. Lo que cambió fue la escala. El tamaño medio de los hacks se duplicó en el primer semestre de 2025 frente al mismo periodo del año anterior, y el daño se concentró fuertemente en un puñado de eventos catastróficos.
El hilo conductor de los peores casos que siguen no es la complejidad. Es la confianza, concentrada en claves únicas, proveedores únicos, estructuras de gobernanza únicas o únicos venues de liquidez.
También lee: Trump's 48-Hour Iran Warning: What It Did To BTC, ETH And XRP
Resolv: cómo una acuñación sin respaldo convirtió una stablecoin en una crisis de balance
El 22 de marzo de 2026, un atacante compromised a privileged private key stored in Resolv's AWS Key Management Service, y luego la utilizó para autorizar dos operaciones de acuñación masivamente infladas en la stablecoin USR del protocolo.
La primera creó 50 millones de USR contra un depósito de aproximadamente 100.000 dólares en USDC (USDC). La segunda acuñó otros 30 millones.
En total, aproximadamente 80 millones de tokens sin respaldo entered en circulación. La clave de acuñación era una sola cuenta externa —no un multisig— y el contrato no tenía límites máximos de acuñación, comprobaciones de oráculo ni validación de montos.
El atacante convirtió los USR acuñados, pasando por wstUSR y stablecoins, en aproximadamente 11.400 Ether (ETH), por un valor aproximado de entre 24 y 25 millones de dólares. El precio de USR crashed hasta 0,025 dólares en Curve Finance en solo 17 minutos, una caída del 97,5 %.
Lo que hace que las explotaciones de stablecoins sean especialmente dañinas es que exponen al instante si el colateral de respaldo es real o frágil.
El pool de colateral original del protocolo, de unos 95 millones de dólares, seguía técnicamente intacto, pero con 80 millones de nuevos tokens sin respaldo en circulación, Resolv se quedó con aproximadamente 95 millones de dólares en activos frente a unos 173 millones en pasivos. Protocolos DeFi como Aave, Morpho, Euler, Venus y Fluid tomaron medidas de precaución para aislar su exposición.
La reacción en cadena —explotación, ventas forzadas, pérdida del par, brecha de pasivos y pánico— se desarrolló en menos de un día.
También lee: Bitcoin's S&P 500 Correlation Just Flashed A Crash Warning
Bybit: la megabrecha de 1.500 millones de dólares que definió el año
Ningún evento único en la historia del robo de criptomonedas se compara, en términos de dólares, con lo que happened a Bybit el 21 de febrero de 2025.
El investigador on-chain ZachXBT fue el primero en señalar salidas sospechosas por más de 1.460 millones de dólares desde el cold wallet de Ethereum (ETH) del exchange. El FBI posteriormente attributed el robo al cluster TraderTraitor de Corea del Norte, parte del Lazarus Group, y fijó la cifra en aproximadamente 1.500 millones de dólares.
Se robaron alrededor de 401.347 ETH. Eso superó los totales combinados de los hacks de Ronin Network y Poly Network, hasta entonces los dos mayores de la historia cripto.
La brecha no fue un fallo del código propio de Bybit. Las investigaciones forenses de Sygnia y Verichains traced la causa raíz a un compromiso de la cadena de suministro de Safe{Wallet}, una plataforma multisig de terceros. Los atacantes comprometieron la workstation macOS de un desarrollador de Safe ya el 4 de febrero, robaron tokens de sesión de AWS y, el 19 de febrero, injected JavaScript malicioso en la interfaz web de Safe.
El código se activaba solo cuando el cold wallet específico de Ethereum de Bybit iniciaba una transacción. Tres de los seis firmantes del multisig aprobaron la transacción sin detectar la manipulación.
El CEO de Bybit, Ben Zhou, confirmed que el exchange seguía siendo solvente, respaldado por reservas previas al hack superiores a 16.000 millones de dólares. En 72 horas, Bybit replenished sus reservas de ETH mediante préstamos de emergencia de Galaxy Digital, FalconX, Wintermute y Bitget. Pero para el 20 de marzo, aproximadamente el 86 % del ETH robado se había convertido en Bitcoin (BTC) repartido en casi 7.000 wallets.
La lección es clara. Un solo venue, una sola brecha, un solo evento, y el perfil anual de pérdidas de la industria cambia por completo. Algunos de los peores fracasos cripto ocurren donde los usuarios asumen que la escala equivale a seguridad.
También lee: After A $44M Hack, CoinDCX Now Faces A Fraud FIR
Cetus en Sui: cómo una explotación de 223 millones de dólares congeló un DEX insignia
En mayo de 2025, Cetus, el mayor exchange descentralizado de la red Sui (SUI), fue hit por una explotación que drenó aproximadamente 223 millones de dólares de sus pools de liquidez. La causa raíz fue un bug de desbordamiento de enteros en la librería matemática de liquidez concentrada del protocolo.
Una función compared valores con un umbral que estaba desfasado por un bit, lo que permitió al atacante depositar un solo token y recibir posiciones de liquidez por valor de millones.
Los validadores de Sui took la medida extraordinaria de congelar aproximadamente 162 millones de dólares de fondos robados on-chain, una acción aprobada por una votación de gobernanza con un 90,9 % de apoyo. Alrededor de 60 millones ya se habían puenteado a Ethereum antes de la congelación.
Cetus resumed sus operaciones tras 17 días de inactividad, rellenando los pools con los fondos recuperados, 7 millones de dólares de sus reservas de efectivo y un préstamo de 30 millones de USDC de la Sui Foundation.
Cuando un venue de liquidez insignia se rompe, la credibilidad de toda la cadena se resiente. Precios de tokens, reputación de la red, confianza de los usuarios y necesidad de intervención de emergencia por parte de los actores del ecosistema: el radio de impacto va mucho más allá del propio protocolo.
También lee: Brazil Freezes Crypto Tax Rules
GMX: por qué un venue líder de perpetuos aun así perdió más de 42 millones de dólares
En julio de 2025, GMX fue exploited por más de 42 millones de dólares a través de una vulnerabilidad de reentrancy entre contratos en su despliegue V1 en Arbitrum. La función responsable de ejecutar órdenes de disminución aceptaba una dirección de contrato inteligente como parámetro en lugar de exigir una wallet estándar.
Durante el paso de reembolso de ETH, la ejecución pasó al contrato malicioso del atacante, lo que permitió la reentrancy y la manipulación de los datos internos de precios hasta aproximadamente 57 veces por debajo del precio real de mercado.
GMX offered una recompensa de tipo white-hat del 10 %, por un valor aproximado de 5 millones de dólares, con un plazo de 48 horas y una amenaza de acciones legales. El atacante devolvió aproximadamente entre 37,5 millones y 40,5 millones de dólares en varias tandas, conservando la recompensa. Más tarde, GMX completed un plan de compensación de 44 millones de dólares para los tenedores afectados de GLP.
El hecho de que se devolvieran los fondos no significa que el sistema funcionara. El encuadre como “white hat”, las ofertas de recompensa y la recuperación parcial pueden suavizar la reacción del mercado sin eliminar la falla de seguridad subyacente.
La vulnerabilidad se había introducido irónicamente en 2022 durante una corrección de un error anterior. GMX V2 no se vio afectado.
También leer: Bitcoin Drops In Hours After Trump Threatens Iran Power Plants
Nobitex: Cuando un hackeo cripto se convierte en guerra geopolítica
En junio de 2025, Nobitex, el mayor exchange de criptomonedas de Irán, fue hacked por aproximadamente 90 millones de dólares en múltiples blockchains, incluyendo Bitcoin (BTC), Ethereum, Dogecoin (DOGE), XRP (XRP), Solana (SOL), Tron (TRX) y TON (TON).
El grupo de hackers pro-Israel Gonjeshke Darande, también conocido como Predatory Sparrow, claimed la autoría.
El ataque tuvo lugar durante hostilidades militares activas entre Israel e Irán.
No se trató de un robo con motivación financiera. Los fondos robados se sent a direcciones “burner” de vanidad que contenían mensajes anti-IRGC sin claves privadas recuperables, quemando efectivamente 90 millones de dólares como declaración política.
Al día siguiente, los atacantes released públicamente todo el código fuente de Nobitex, la documentación de infraestructura y la I+D interna en materia de privacidad.
Algunos hacks de criptomonedas no son ataques para maximizar beneficios en absoluto. Son sabotaje, señalización o ciberguerra. Eso los hace diferentes de los exploits de protocolo en prácticamente todas las dimensiones: motivación, método, consecuencias y la imposibilidad de recuperación. Nobitex reported una reanudación parcial de operaciones después, pero los volúmenes de transacciones entrantes cayeron más de un 70 por ciento interanual a principios de julio.
También leer: SBF Backs Trump's Iran Strikes From Prison
Abracadabra: El exploit que golpeó el endeudamiento DeFi a través de los calderos vinculados a GMX
El 25 de marzo de 2025, un atacante drained aproximadamente 6.260 ETH — alrededor de 13 millones de dólares — de los mercados de préstamos de Abracadabra Finance, conocidos como cauldrons (calderos). Los calderos objetivo utilizaban tokens de los pools de liquidez de GMX V2 como colateral, y el exploit se basó en una técnica de auto-liquidación asistida por flash loan que aprovechaba errores de seguimiento de estado dentro de los contratos gmCauldron.
Los fondos robados se puentearon desde Arbitrum a Ethereum. PeckShield fue una de las primeras firmas de seguridad en señalar el incidente. GMX confirmó que sus propios contratos no se vieron afectados.
Abracadabra ofreció una recompensa por errores del 20 por ciento. Este fue el segundo gran hackeo del protocolo; un exploit de 6,49 millones de dólares lo había hit en enero de 2024.
El episodio ilustra el riesgo de composabilidad. Un protocolo puede parecer seguro por sí solo pero volverse vulnerable a través de integraciones y dependencias.
Para los usuarios de DeFi, lo que hay bajo el capó — qué tipos de colateral acepta un protocolo, qué contratos externos llama — importa más que la marca de alto nivel en la que depositan.
También leer: CFTC And SEC Align On Crypto Haircuts
Hyperliquid y JELLY: drama de estructura de mercado y preguntas sobre centralización
El 26 de marzo de 2025, un atacante opened una posición corta de 4,1 millones de dólares sobre el memecoin ilíquido JELLY en Hyperliquid, junto con dos posiciones largas compensatorias, y luego bombeó el precio spot del token más de un 400 por ciento.
Cuando la corta fue liquidada, el vault automatizado HLP de Hyperliquid heredó la posición en pérdidas, y las pérdidas no realizadas del vault alcanzaron aproximadamente 13,5 millones de dólares.
Los validadores de Hyperliquid luego force-closed todas las posiciones en JELLY, liquidando al precio de entrada original de la corta del atacante, 0,0095 dólares, en lugar de los 0,50 dólares que informaban los oráculos externos.
La maniobra se ejecutó en dos minutos y revealed que el protocolo dependía de solo cuatro validadores por conjunto.
El escándalo aquí no es solo la pérdida.
La CEO de Bitget, Gracy Chen, llamó públicamente a Hyperliquid “FTX 2.0”. El valor total bloqueado del protocolo colapsó de 540 millones de dólares a 150 millones en el mes siguiente, y el token HYPE cayó un 20 por ciento. Más tarde, Hyperliquid upgraded a votación en cadena de validadores para las decisiones de exclusión de activos.
¿Qué ocurre cuando una plataforma supuestamente descentralizada actúa de forma centralizada en una crisis? Esa pregunta es útil para cualquier público de investigación, incluso cuando la pérdida en dólares es menor que en las mayores brechas. Ex puso una línea de falla de credibilidad.
También leer: Strategy Holds 3.6% Of All Bitcoin
Meta Pool: riesgo de acuñación infinita y por qué la baja liquidez puede ocultar un fallo mayor
En junio de 2025, Meta Pool suffered un exploit de contrato inteligente que permitió a un atacante acuñar 9.705 mpETH — por un valor aproximado de 27 millones de dólares — sin depositar ningún colateral en ETH.
La vulnerabilidad residía en la función de acuñación de ERC-4626. El atacante evitó el periodo de enfriamiento normal mediante la funcionalidad de “fast unstake” del protocolo.
Pero la pérdida realizada fue de solo unos 132.000 dólares. La escasa liquidez en los pools de intercambio relevantes de Uniswap significó que el atacante solo pudo extraer 52,5 ETH.
Un bot de MEV adelantó parte del ataque, extrayendo aproximadamente 90 ETH en liquidez que posteriormente fueron devueltos al protocolo. Los 913 ETH originalmente apostados por los usuarios permanecieron seguros con los operadores de SSV Network.
A veces el error es mucho peor que la pérdida realizada. La ruta de exploit en este caso implicaba un daño teórico catastrófico, pero la mala liquidez limitó la extracción. Esa distinción importa para cualquiera que evalúe el riesgo DeFi y le da a este caso más profundidad de la que sugeriría una simple clasificación por pérdidas en dólares.
También leer: UK Set To Block Crypto Donations
Cork Protocol: respaldado por a16z, aún así explotado
El 28 de mayo de 2025, Cork Protocol fue exploited por aproximadamente 12 millones de dólares. El atacante extrajo 3.761 wstETH explotando fallos en la lógica beforeSwap del Cork Hook y controles de acceso ausentes.
La causa raíz fue una falta de validación de entradas combinada con la creación de mercados sin permiso y sin barreras de seguridad, lo que permitió al atacante crear un mercado falso utilizando un token DS legítimo como activo de redención.
Cork había recibido inversiones de a16z crypto y OrangeDAO en septiembre de 2024.
La lección es simple. Los inversores institucionales, el respaldo de capital de riesgo de primer nivel y la imagen pulida no eliminan el riesgo técnico. Los lectores no deben confundir la calidad de la recaudación de fondos con la seguridad del protocolo, y las auditorías — por exhaustivas que sean — no son garantías. Todos los contratos se pausaron inmediatamente después de la detección, pero el dinero ya no estaba.
También leer: Early Ethereum Whale Buys $19.5M In ETH
KiloEx: la manipulación de oráculos como una debilidad recurrente de DeFi
En abril de 2025, KiloEx lost aproximadamente entre 7 y 7,5 millones de dólares en Base, opBNB y BNB Smart Chain después de que un atacante explotara una vulnerabilidad de control de acceso en el contrato MinimalForwarder de la plataforma. El fallo permitía que cualquiera llamara a las funciones que establecían precios.
El atacante manipuló el oráculo para informar un precio absurdamente bajo para ETH — 100 dólares — al abrir posiciones apalancadas, y luego las cerró a 10.000 dólares.
KiloEx offered una recompensa “white hat” del 10 por ciento, 750.000 dólares. Cuatro días después, el atacante devolvió todos los fondos robados, y KiloEx anunció que no emprendería acciones legales.
La plataforma reanudó operaciones tras una pausa de 10 días y published un plan de compensación para los usuarios cuyas operaciones quedaron abiertas durante la interrupción.
Este es el caso más claro para explicar el riesgo de oráculos. Datos de precios incorrectos pueden permitir a los atacantes abrir y cerrar posiciones a valores falsos. Muchos exploits publicitados como sofisticados siguen basándose en primitivas antiguas: fuentes de precios defectuosas, supuestos predecibles, mala validación. La manipulación de oráculos sigue siendo una de las debilidades más persistentes de DeFi.
También leer: Gold's WorstWeek Since 1983
Lo que revela el patrón
Los 10 casos anteriores difieren en mecanismo, escala y motivo. Pero comparten un patrón estructural.
Los incidentes financieramente más devastadores — Bybit y Resolv — no fueron causados en absoluto por errores en cadena. Fueron fallos a nivel de infraestructura: en un caso, una máquina de desarrollador comprometida; en el otro, una única clave de acuñación sin protección almacenada en infraestructura en la nube. El daño en ambos casos fue catastrófico precisamente porque existían puntos centralizados de confianza donde los usuarios asumían que no los había.
Los exploits a nivel de protocolo como Cetus y GMX sí implicaron errores de código, pero el radio de impacto quedó determinado por las respuestas de gobernanza: si los validadores podían congelar fondos, si las negociaciones de recompensas (bounties) tenían éxito y si los actores del ecosistema intervenían con financiación de emergencia.
Nobitex no fue un exploit de protocolo en ningún sentido significativo; fue un acto de sabotaje geopolítico.
El panorama general no es alentador. Menos incidentes no significan menos daño. La gravedad promedio está aumentando. Solo Corea del Norte accounted por más de 2.000 millones de dólares en robos de 2025, un aumento interanual del 51 por ciento.
El perímetro de seguridad que más importa en cripto ha pasado de la lógica en cadena a la infraestructura off-chain, la gestión de claves y la seguridad operacional humana.
Para los usuarios minoristas, los inversores en tokens y los equipos de protocolos por igual, los datos sugieren la misma conclusión. La cuestión ya no es si los contratos inteligentes de un protocolo han sido auditados. La cuestión es dónde se concentra la confianza y qué ocurre cuando se rompe.
Leer a continuación: Bitcoin Mining Difficulty Falls 7.76%