El 5 de agosto de 2025, KuCoin lanzó su último Canal Semanal de Seguridad, que destacó una realidad preocupante para el ecosistema Web3. Según el informe, que se basó en datos de la empresa de seguridad blockchain SlowMist, los incidentes de seguridad en julio de 2025 drenaron aproximadamente$147 millonesen pérdidas totales. Estas cifras no son solo un recuento sombrío; sirven como un recordatorio claro de que el riesgo no es una anomalía en el mundo cripto. Es una realidad inherente y multifacética que afecta a todos los participantes, desde los desarrolladores hasta el usuario promedio.
Un análisis más detallado de los principales hackeos del mes revela tres categorías distintas de riesgo que colectivamente definen los desafíos de seguridad de Web3.
Contratos Inteligentes: La Doble Cara de la Moneda deWeb3
Para muchos, la promesa de Web3 radica en su dependencia del código inmutable. Pero como muestran los incidentes de julio, un solo error lógico puede ser catastrófico. La plataforma de trading descentralizadaGMXsufrió un golpe de más de$42 millonesdespués de que atacantes explotaran una sutil vulnerabilidad en la lógica de su sistema Keeper. Manipulando cómo el protocolo manejaba las posiciones cortas y las actualizaciones de precios, los hackers lograron inflar el precio de GLP, permitiéndoles beneficiarse de una redención masiva.
De manera similar, elpuente de cadena cruzada de ZKSwapfue hackeado, lo que resultó en una pérdida de$5 millones, debido a una falla fundamental. El mecanismo de prueba de conocimiento cero—una característica esencial de seguridad—no estaba siendo realmente verificado, lo que permitió a un atacante falsificar pruebas de retiro y eludir la verificación de seguridad más crucial del sistema. El caso del contrato inteligente deSuperRare, que tenía un error de bajo nivel donde se usó != en lugar de ==, subraya aún más este punto. [2] Estos ataques resaltan una verdad crítica: en un sistema basado en código, incluso un error menor puede crear una gran vulnerabilidad de seguridad.
Crédito: @SlowMist_Team en X (Twitter)
De Insiders a Keyloggers: La Superficie de Ataque de Web3 Se Expande
Mientras el código suele ser el enfoque principal, la tendencia más alarmante de julio fue la creciente sofisticación de los ataques dirigidos a las personas detrás de las plataformas. Aquí es donde las vulnerabilidades de los sistemas centralizados realmente salen a la luz. Elhackeo de CoinDCX, que costó$44.2 millones, no fue un asalto directo a sus billeteras, sino un trabajo interno facilitado por un ingeniero de software comprometido. Los atacantes se hicieron pasar por reclutadores freelance, instalaron un keylogger en la computadora del empleado, robaron sus credenciales de inicio de sesión y obtuvieron acceso a los sistemas internos del intercambio. El arresto posterior del ingeniero demuestra las graves consecuencias de una brecha de este tipo, y el incidente pone de manifiesto cómo la ingeniería social sigue siendo un vector de ataque altamente efectivo. [1]
Otro ejemplo, elataque a la cadena de suministro de BigONE, permitió a los hackers infiltrarse en la red de producción del intercambio y alterar la lógica operativa de sus sistemas de control de riesgos, resultando en una pérdida de$27 millones. Elhackeo de WOO X, que drenó$14 millonesde nueve cuentas de usuarios, también estuvo vinculado a un ataque de phishing dirigido a un miembro del equipo. Estos incidentes destacan que, sin importar cuán segura sea la custodia en frío de un intercambio, su infraestructura interna—y los empleados que la gestionan—representan una superficie de ataque significativa que los actores malintencionados están cada vez más interesados en explotar.
Crédito: @SlowMist_Team en X (Twitter)
Riesgo impulsado por el usuario: La última línea de defensa
Quizás las pérdidas más trágicas son aquellas resultantes de la falta de educación y conciencia del usuario. El informe incluye una desgarradora historia de un usuario que perdió4.35BTC—una suma significativa—tras comprar unabilletera fríafalsificada de un vendedor de terceros en una plataforma de comercio electrónico [3]. El dispositivo preconfigurado era una trampa, diseñado para desviar los fondos tan pronto como fueran transferidos. Esta historia sirve como un poderoso recordatorio de que la seguridad no es solo responsabilidad de las plataformas y los protocolos.
Para el usuario promedio, los riesgos de Web3 son únicos. No están protegidos por seguros bancarios ni por departamentos tradicionales de fraude. La naturaleza descentralizada de la tecnología coloca una pesada carga de responsabilidad en el individuo, haciendo que la diligencia debida en todo—desde comprarbilleteras de hardwarehasta validar los detalles de las transacciones—sea absolutamente esencial.
Conclusión: Una Responsabilidad Compartida
Los eventos de seguridad de julio de 2025, tal como se detallan en el informe de KuCoin, sirven como un poderoso resumen de los riesgos inherentes a Web3. Demuestran que el ecosistema está siendo puesto a prueba simultáneamente por fallas técnicas en contratos inteligentes, ataques impulsados por humanos a entidades centralizadas, y una persistente falta de concienciación por parte de los usuarios. Los $147 millones en pérdidas son un llamado de atención para toda la industria. Es una señal clara de que la seguridad ya no puede considerarse como una idea secundaria. En cambio, debe ser un esfuerzo integrado y colaborativo que incluya auditorías técnicas robustas, protocolos internos estrictos y un compromiso generalizado con la educación de los usuarios. Solo abordando los tres frentes la industria puede esperar construir un futuro digital verdaderamente seguro y resiliente.
Referencias
[1] FinanceFeeds - Arresto de Ingeniero de Software de CoinDCX en un Robo de Criptomonedas por $44 Millones con Ayuda Interna, 31 de julio de 2025
[2] X(Twitter) - Alerta TI de SlowMist, 28 de julio de 2025(https://x.com/SlowMist_Team/status/1949770231733530682)
[3] X(Twitter) - Experiencia de un Usuario sobre el Hackeo al Comprar una Billetera Fría a través de Canales No Oficiales, 29 de julio de 2025(https://x.com/0xdizai/status/1949906538497528087)