Es uno de los años más malos registrados. Finanzas descentralizadas hackeadas, y apenas llevamos la mitad.
En los primeros cinco meses de 2026, los ataques de hackers a DeFi causaron pérdidas de más de 840 millones de dólares — solo en abril se robaron más de 600 millones de dólares, con dos de los ataques más grandes del año: la explotación de KelpDAO, que causó pérdidas de 292 millones de dólares y la vulnerabilidad del protocolo Drift por 285 millones de dólares.
Las pérdidas continuaron hasta mayo. Los investigadores de seguridad de ThunderChain descubrieron una vulnerabilidad de cadena cruzada sospechosa, con un impacto superior a los 10 millones de dólares, tras lo cual se suspendieron las operaciones.
Trusted Volume,Echo Protocol,Step Finance,Truebit,Resolv Labs,Volore Protocol,Rhea Finance,Verus-Ethereum Bridge y muchas otras empresas también se unieron a este desastre, y esta lista es como una prueba de estrés de cada suposición de confianza en la que se basa DeFi.DeFiLlama Data.
Los expertos desenmascararon que los asistentes coincidieron en el diagnóstico: los recientes ataques de hackers en DeFi revelaron defectos estructurales en el ámbito de DeFi. Puentes y sistemas de gestión, y el avance de la inteligencia artificial podría estar ayudando a los atacantes a descubrir vulnerabilidades más rápidamente.
Natalie Newson, investigadora principal de blockchain en la plataforma de seguridad Web3 CertiK, le dijo a Decrypt que, aunque los incidentes de ataque en criptomonedas en abril fueron particularmente graves, la tendencia general sigue siendo relativamente estable y por debajo del pico de eventos de 2023.
“Abril de 2026 fue un mes con numerosos ataques de vulnerabilidades en criptomonedas; solo tres días transcurrieron sin ataques, y cada día se robaron al menos 10,000 dólares,” dijo.
“Sin embargo, desde una perspectiva más amplia, la cantidad de eventos (excluyendo phishing) puede considerarse bastante estable y aún por debajo del pico de 2023,” señaló Newsom, y añadió que la gravedad de abril fue causada por 14 ataques que superaron los 1 millón de dólares en pérdidas, solo por detrás de los 16 de septiembre de 2025.
Factor Corea del Norte
Ari Redbord, director global de políticas y asuntos gubernamentales de TRM Labs, le dijo a Decrypt que este evento de [aumento] se remonta a un actor estatal que, en cinco años, pasó de ser un actor marginal a convertirse en una amenaza decisiva.
Reddote dijo: "Corea del Norte es el motor principal, y esta campaña se está volviendo cada vez más precisa, no más amplia." También señaló que actores asociados con Corea del Norte también participan. Registrado El 76% de las pérdidas causadas por ataques de criptomonedas a nivel mundial en los primeros cuatro meses de 2026 ocurrirán aquí, frente al 64% en 2025 y menos del 10% en 2020.
Él dijo: "Corea del Norte no solo utiliza ataques tecnológicos contra el espacio, sino también técnicas de ingeniería social complejas y cuidadosamente planificadas."
El mayor ataque hacker DeFi de este año ocurrió el 18 de abril, cuando el atacante robó aproximadamente 116.500 rsETH de un puente cruzado, valorados en aproximadamente 292 millones de dólares estadounidenses.
LayerZero es el proveedor de infraestructura de mensajería subyacente para este protocolo de puente, y en su declaración más reciente indicó que... 尸检报告 el ataque comenzó el 6 de marzo, cuando un desarrollador fue víctima de un ataque de ingeniería social y su clave de sesión fue robada.
Compartiremos el informe de investigación de incidentes completado sobre el evento del 18 de abril, preparado por @Mandiant y @CrowdStrike. Publicaremos el resumen ejecutivo y el informe completo en el siguiente enlace.
Durante las últimas cuatro semanas, hemos trabajado con cientos de socios para ayudarlos... pic.twitter.com/yVZdqjLTeT
— LayerZero (@LayerZero_Core)2026年5月20日
El protocolo de mensajería entre cadenas indica que Mandiant, CrowdStrike y investigadores independientes atribuyen este ataque al actor de amenaza norcoreano TraderTraitor, también conocido como UNC4899.
Redbord agregó que las razones estructurales detrás de los continuos impactos en DeFi se resumen en la ubicación y el flujo de los fondos.
He pointed out: "The cross-chain complexity of DeFi makes it an environment full of attack targets—bridges always cause the largest single-event losses, and failure modes recur with startling consistency because the core issue is architectural."
Patrón que se repite
Raz Niv, cofundador y director técnico de la plataforma de seguridad en cadena Blockaid, dijo a Decrypted que en los mayores eventos de este año se han repetido tres patrones técnicos: fallos en el control de acceso con privilegios, actualización maliciosa de agentes (los atacantes reemplazan el contrato implementado por una versión con puerta trasera) y vulnerabilidades en la validación de mensajes entre cadenas.
Sobre el acceso privilegiado, Niv indicó que la empresa monitorea "eventos anómalos de 'asignación de roles' y elevación no autorizada de permisos", como el siguiente evento: explotación del protocolo Echo, que se remonta a una filtración de clave de administrador o un error de configuración.
“El atacante either obtuvo la clave privada mediante ingeniería social o aprovechó un umbral de firma múltiple mal diseñado,” añadió.
He pointed out failures in areas such as privileged access control, malicious proxy escalation, and cross-chain verification systems, stating that recent attacks exposed deeper weaknesses in the assumptions underlying increasingly complex infrastructure.
Niv dijo: “La similitud no radica en la complejidad en sí, sino en que cada capa de abstracción (agente, rol de administrador, mensajería entre cadenas) introduce suposiciones de confianza que los atacantes exploran sistemáticamente.”
Impacto de la inteligencia artificial
Niv stated that artificial intelligence is increasingly changing the way vulnerabilities are discovered, but he also warned that the impact of AI is often misunderstood.
Él indicó que los modelos actuales se están volviendo cada vez más efectivos en la identificación a gran escala de vulnerabilidades conocidas y que “están automatizando el trabajo de auditores calificados”, mientras advertía que “la verdadera preocupación no es que la inteligencia artificial reemplace a los atacantes humanos”, sino que la inteligencia artificial “refuerce la capacidad de los atacantes” al procesar el trabajo de reconocimiento, permitiéndoles centrarse en técnicas más complejas.
“La buena noticia es que los defensores pueden utilizar las mismas herramientas. La monitorización y la simulación asistidas por inteligencia artificial se están volviendo esenciales para los equipos de seguridad que intentan mantenerse al día,” añadió Niv.
Newsom pointed out that the surge in DeFi hacking attacks has shown a similar trend, saying: "Advancements in artificial intelligence may be one factor contributing to this phenomenon, although it is not the only one."
Ella añadió que CertiK ha observado un aumento en el uso de contratos antiguos y no verificados, lo que lleva “lógicamente a concluir que la inteligencia artificial está ayudando a descubrir vulnerabilidades”.
Asimismo, Redbord indicó que “los actores maliciosos están implementando a gran escala la inteligencia artificial” para la vigilancia, la ingeniería social y el diseño de explotaciones, y añadió que la complejidad mostrada en ataques como el de Drift parece “coherente con flujos de trabajo asistidos por inteligencia artificial”.
Los analistas de TRM creen que los operativos norcoreanos están integrando cada vez más herramientas de inteligencia artificial en sus operaciones, y afirman: “La solución es implementar la inteligencia artificial en la defensa con la misma agresividad con la que el oponente la despliega en el ataque.”
Above is the code
Redbord indicó que los ataques de hackers en DeFi son "un problema que se puede resolver", pero también señaló que la industria necesita ser más sincera sobre dónde ocurren realmente los fallos.
Él señaló que "las auditorías pueden prevenir vulnerabilidades en el código", pero no pueden proteger contra ataques sociales complejos como el de Drift, del que se informó que participaron agentes norcoreanos. Spent months gaining access before the breach occurred.
The expert added: "The working model is real-time public-private collaboration."
Newsom dijo que 2026 podría representar "un punto de inflexión evolutivo", y señaló que la industria está reconociendo que la ciberseguridad es un "problema de pila completa" que abarca "inteligencia artificial, Corea del Norte, o infraestructura y personal".
“If your off-chain manual processes have vulnerabilities, no matter how perfect the on-chain mathematics, it won’t help,” she said, noting that the industry is increasingly shifting toward “practical structural solutions” to address infrastructure and social engineering risks.
La confianza se ve afectada
El grado de pérdida de confianza en el ámbito DeFi es difícil de cuantificar, pero fácil de observar.
La vulnerabilidad de Kelp DAO provocó una salida de fondos de 6.2 mil millones de dólares. Avi actuó solo antes de la operación de rescate liderada por el CEO de Aave, Stani Kulechov, denominada “DeFi United”, que recaudó 132.650 ETH con un valor aproximado de 303 millones de dólares para garantizar las deudas incobrables.
Esta respuesta coordinada demuestra que la industria puede movilizarse. También revela cuánto dinero se necesita para ocultar un robo de puente.
Newsom stated that the consequences depend entirely on who will be affected.
“Los profesionales con experiencia podrían dar por sentado lo ocurrido en las últimas seis semanas: simplemente la normalidad del próximo fase de desarrollo y una dolorosa experiencia de la que aprender,” dijo.
She noted that repeated attacks affect new market participants very differently, warning that for users who have lost large sums of money, the consequences are not a “learning experience,” but rather raise “existential questions” about the long-term “viability and security” of cryptocurrency, and technical fixes often come too late to recover losses.