2020 — Los dolores de crecimiento de DeFi
A medida que los protocolos DeFi crecieron en 2020, los atacantes descubrieron que los smart contracts que albergaban millones de dólares a menudo tenían una lógica explotable. Los Flash Loans —préstamos sin colateral devueltos en una sola transacción— se convirtieron en el arma preferida.
Ataques de Flash Loan a bZx (~$8M)
Los primeros grandes exploits de flash loans en DeFi. Los atacantes pidieron prestadas grandes cantidades, manipularon precios en exchanges descentralizados y se beneficiaron de la distorsión, todo en una sola transacción. Estos ataques demostraron que la composibilidad entre protocolos podía ser usada como arma.
Harvest Finance ($34M)
Manipulación de precios mediante flash loans dirigida a las bóvedas de USDC y USDT de Harvest. El atacante manipuló repetidamente los precios de los pools de Curve para explotar cómo Harvest calculaba los valores de los depósitos, drenando fondos en múltiples transacciones en un corto periodo de tiempo.
Hackeo de KuCoin ($280M)
Compromiso de la hot wallet del exchange. Los atacantes obtuvieron acceso a las llaves privadas de KuCoin y retiraron fondos a través de múltiples blockchains. Cabe destacar que la mayoría de los fondos robados fueron finalmente recuperados gracias a la cooperación con otros exchanges y proyectos que congelaron o revirtieron los tokens.
2021 — Exploits del verano DeFi
El crecimiento explosivo de DeFi en 2021 trajo récords de valor total bloqueado y récords de exploits. Los protocolos cross-chain y las dependencias de oráculos se convirtieron en objetivos principales.
Poly Network ($611M)
Exploit de un puente cross-chain que fue, en su momento, el mayor hackeo de la historia cripto. El atacante explotó una vulnerabilidad en la verificación de mensajes entre cadenas. En un giro sorprendente, el hacker —apodado "Mr. White Hat"— devolvió todos los fondos robados, afirmando que el ataque fue para exponer la vulnerabilidad.
Cream Finance ($130M en múltiples ataques)
Una serie de ataques de flash loans y manipulación de oráculos a lo largo de 2021. Cream Finance fue explotado varias veces, resaltando cómo los protocolos de préstamo que aceptan muchos tipos de colateral amplían su superficie de ataque.
BadgerDAO ($120M)
Ataque de front-end a través de una llave de API de Cloudflare comprometida. Los atacantes inyectaron scripts maliciosos en la interfaz web de Badger, induciendo a los usuarios a aprobar transferencias de tokens a direcciones controladas por el atacante. Los smart contracts del protocolo nunca fueron explotados; solo el sitio web fue comprometido.
Vulcan Forged ($140M)
Compromiso de llaves privadas que afectó a la plataforma de juegos y NFTs. Los atacantes obtuvieron las llaves privadas de múltiples wallets de usuarios, drenando los fondos directamente. El incidente subrayó los riesgos de las plataformas que gestionan las llaves de los usuarios en su nombre.
2022 — El año en que todo se rompió
2022 fue el año más devastador en la historia de las criptomonedas. Exploits de puentes (bridges), ataques de gobernanza, colapsos de stablecoins algorítmicas y fraudes directos se combinaron para generar decenas de miles de millones en pérdidas.
Ronin Bridge ($625M)
El Grupo Lazarus de Corea del Norte comprometió 5 de las 9 llaves de validadores que aseguraban el puente Ronin, que alimentaba a Axie Infinity. La brecha pasó desapercibida durante seis días. Fue el mayor hackeo hasta 2025 y demostró el riesgo catastrófico de las arquitecturas de puentes que dependen de un conjunto pequeño de validadores.
Wormhole ($325M)
Un error de verificación de firma en el puente Solana-Ethereum permitió al atacante acuñar 120,000 wETH en Solana sin depositar ningún ETH. Jump Crypto, el respaldo de Wormhole, reemplazó los fondos robados para evitar fallos en cascada en el ecosistema de Solana.
Nomad Bridge ($190M)
Un "exploit de copiar y pegar" donde una actualización de código permitió accidentalmente que cualquiera retirara fondos copiando una transacción válida y sustituyéndola por su propia dirección. Cientos de usuarios drenaron el puente, en uno de los exploits más inusuales de la historia de DeFi.
Beanstalk ($182M)
Ataque de gobernanza mediante flash loan. El atacante tomó un préstamo relámpago para adquirir suficientes tokens de gobernanza para aprobar una propuesta maliciosa en una sola transacción, drenando la tesorería del protocolo. Esto expuso una vulnerabilidad fundamental en los sistemas de gobernanza on-chain sin bloqueos de tiempo (time locks).
Colapso de Terra/LUNA (~$60B de valor de mercado destruido)
No fue un hackeo, sino el mayor evento de pérdida en la historia cripto. La stablecoin algorítmica UST perdió su paridad, desencadenando una espiral de muerte que aniquiló tanto a UST como a LUNA. El colapso demostró que las stablecoins algorítmicas sin reservas suficientes pueden fallar de forma catastrófica y repentina.
Colapso de FTX ($8B+ en fondos de clientes)
No fue un hackeo, sino un fraude. Se descubrió que FTX, uno de los mayores exchanges centralizados, había malversado miles de millones en depósitos de clientes para financiar a su firma de trading hermana, Alameda Research. El colapso borró los fondos de los clientes, provocó un contagio en toda la industria y derivó en condenas penales.
Mango Markets ($114M)
Manipulación de oráculos de precios en la plataforma de trading basada en Solana. El atacante manipuló el precio del token MNGO usando sus propias posiciones masivas, y luego usó el valor inflado del colateral para pedir prestados y retirar otros activos de la plataforma.
2023 — Los problemas de los puentes continúan
A pesar de la mayor concienciación, los incidentes relacionados con puentes continuaron en 2023. Los ataques a nivel de infraestructura —comprometiendo servicios en la nube y miembros del equipo en lugar de smart contracts— se volvieron más prominentes.
Mixin Network ($200M)
La base de datos del proveedor de servicios en la nube fue comprometida, dando a los atacantes acceso a llaves privadas y fondos. No fue un exploit de smart contract sino una brecha de infraestructura, demostrando que incluso los protocolos bien diseñados son tan seguros como su entorno de alojamiento.
Euler Finance ($197M)
Ataque de flash loan explotando una vulnerabilidad en la lógica de liquidación del protocolo de préstamos. En un resultado notable, el atacante devolvió todos los fondos tras negociar con el equipo de Euler, convirtiéndose en una de las mayores recuperaciones de fondos exitosas en DeFi.
Multichain ($126M)
El CEO del protocolo fue arrestado por las autoridades chinas y las llaves privadas que aseguraban el puente fueron comprometidas. Los fondos fueron retirados de los contratos del puente y el protocolo dejó de existir efectivamente. Una historia de advertencia sobre la gestión centralizada de llaves en protocolos supuestamente descentralizados.
Atomic Wallet ($100M)
Las wallets de los usuarios fueron drenadas a través de un vector de ataque desconocido, sospechándose del Grupo Lazarus como autor. El método exacto de compromiso nunca se reveló por completo, aunque los análisis sugirieron una vulnerabilidad en la cadena de suministro o en la gestión de llaves.
Desanclaje temporal de USDC
Cuando Silicon Valley Bank colapsó, se reveló que Circle mantenía $3.3B de las reservas de USDC allí. USDC perdió brevemente su paridad cayendo a $0.87 antes de recuperarse cuando el gobierno de EE. UU. garantizó los depósitos de SVB. No fue un hackeo, sino una clara ilustración de cómo las stablecoins conllevan riesgos bancarios del mundo real.
2024 — Ataques sofisticados
Para 2024, los atacantes se dirigieron cada vez más a las personas en lugar de al código. La ingeniería social, los firmantes comprometidos y el robo de llaves privadas superaron a los exploits de smart contracts como el principal vector de ataque.
DMM Bitcoin ($305M)
El exchange japonés DMM Bitcoin sufrió un compromiso de llaves privadas que permitió a los atacantes drenar fondos. El incidente reforzó que los exchanges centralizados siguen siendo objetivos de alto valor a pesar de años de mejoras de seguridad en toda la industria.
PlayDapp ($290M)
Compromiso de llaves privadas en la plataforma de juegos. Los atacantes obtuvieron acceso a una llave privilegiada y acuñaron grandes cantidades de tokens PLA, diluyendo y robando efectivamente el valor de los holders existentes.
WazirX ($235M)
El mayor exchange de criptomonedas de la India fue explotado a través de su infraestructura de billetera multisig. El atacante eludió la seguridad de la firma múltiple, lo que sugiere ingeniería social de los firmantes o una vulnerabilidad en el proceso de firma mismo.
Radiant Capital ($50M)
Los firmantes de la multisig fueron comprometidos mediante ingeniería social sofisticada. Los atacantes se dirigieron a holders de llaves individuales, obteniendo el control de suficientes llaves para autorizar transacciones maliciosas. Un ejemplo directo de por qué la seguridad de una multisig depende totalmente de los humanos que poseen las llaves.
2025 — Rompiendo récords
2025 comenzó con el mayor hackeo individual en la historia de las criptomonedas, estableciendo un nuevo estándar para la escala de daño que puede causar un solo exploit.
Bybit ($1.5B)
El mayor hackeo cripto de la historia. El Grupo Lazarus de Corea del Norte comprometió la interfaz de usuario de la multisig Safe utilizada por Bybit, engañando a los firmantes para que autorizaran transacciones maliciosas. El ataque no explotó una vulnerabilidad de smart contract; se dirigió a la capa de interfaz humana. Este único incidente casi igualó todos los exploits de puentes de 2022 combinados.
Cetus Protocol ($223M)
El mayor DEX en la blockchain Sui fue golpeado por un ataque a la cadena de suministro, resultando en pérdidas significativas de fondos. El incidente resaltó que los ecosistemas de blockchain más nuevos enfrentan los mismos desafíos de seguridad que los más establecidos.
Tabla resumen
Principales incidentes clasificados por monto perdido:
| Año | Incidente | Monto Perdido | Tipo | ¿Recuperado? |
|---|---|---|---|---|
| 2025 | Bybit | $1.5B | Exchange | No |
| 2022 | Colapso de FTX | $8B+ | Fraude | Parcial (procesos de quiebra) |
| 2022 | Terra/LUNA | ~$60B (valor mercado) | Fallo de stablecoin | No |
| 2022 | Ronin Bridge | $625M | Puente | No |
| 2021 | Poly Network | $611M | Puente | Sí (devuelto por el hacker) |
| 2022 | Wormhole | $325M | Puente | Sí (Jump Crypto reemplazó fondos) |
| 2024 | DMM Bitcoin | $305M | Exchange | No |
| 2024 | PlayDapp | $290M | DeFi | No |
| 2020 | KuCoin | $280M | Exchange | Mayormente recuperado |
| 2024 | WazirX | $235M | Exchange | No |
| 2025 | Cetus Protocol | $223M | DeFi | No |
| 2023 | Mixin Network | $200M | Puente | No |
| 2023 | Euler Finance | $197M | DeFi | Sí (devuelto tras negociación) |
| 2022 | Nomad Bridge | $190M | Puente | Parcial |
| 2022 | Beanstalk | $182M | DeFi | No |
| 2021 | Vulcan Forged | $140M | DeFi | No |
| 2021 | Cream Finance | $130M | DeFi | No |
| 2023 | Multichain | $126M | Puente | No |
| 2021 | BadgerDAO | $120M | DeFi | No |
| 2022 | Mango Markets | $114M | DeFi | Parcial |
| 2023 | Atomic Wallet | $100M | Exchange | No |
| 2024 | Radiant Capital | $50M | DeFi | No |
| 2020 | Harvest Finance | $34M | DeFi | No |
| 2020 | bZx | ~$8M | DeFi | No |
Patrones de ataque comunes
A lo largo de seis años de exploits, las mismas categorías de ataque aparecen repetidamente:
Exploits de puentes (bridges)
Los puentes cross-chain mantienen grandes depósitos de activos bloqueados y dependen de conjuntos de validadores o pruebas criptográficas para autorizar retiros. Comprometer a los validadores o la lógica de verificación otorga acceso a todos los fondos bloqueados. Los puentes representan la mayoría de los hackeos individuales más grandes.
Ataques de Flash Loan
Los préstamos relámpago permiten a cualquiera pedir prestados millones sin colateral, siempre que los devuelvan en una sola transacción. Los atacantes usan este capital para manipular precios, explotar smart contracts vulnerables y extraer beneficios, todo con riesgo inicial cero. Si el ataque falla, la transacción simplemente se revierte.
Compromiso de llaves privadas
Ingeniería social, malware, phishing y amenazas internas dirigidas a los humanos que poseen llaves críticas. A medida que mejora la seguridad de los smart contracts, los atacantes persiguen cada vez más a las personas en lugar de al código. Este fue el vector para Bybit, DMM Bitcoin, Radiant Capital y muchos otros.
Manipulación de oráculos
Los oráculos suministran datos de precios externos a los smart contracts. Si un atacante puede influir en el precio que reporta un oráculo —manipulando un par de trading con baja liquidez, por ejemplo— puede engañar a los protocolos para que valoren mal los activos, permitiendo exploits rentables.
Ataques de front-end y cadena de suministro
En lugar de atacar los smart contracts del protocolo, los atacantes comprometen el sitio web o las dependencias con las que interactúan los usuarios. El compromiso de la llave API de Cloudflare de BadgerDAO y la manipulación de la interfaz de Safe de Bybit son ejemplos claros. El protocolo puede ser perfectamente seguro mientras la interfaz es maliciosa.
Ataques de gobernanza
Uso de flash loans o tokens acumulados para aprobar propuestas de gobernanza maliciosas que drenan la tesorería de un protocolo. El exploit de $182M de Beanstalk demostró cómo la gobernanza on-chain sin ejecución retardada puede ser secuestrada en una sola transacción.
Ataques patrocinados por estados
El Grupo Lazarus de Corea del Norte es responsable de más de $3 mil millones en robos cripto, incluyendo los hackeos de Ronin Bridge, Bybit y Atomic Wallet. Son operaciones con muchos recursos, pacientes y con capacidades de ingeniería social sofisticadas que superan con creces a los ciberdelincuentes típicos.
Lecciones de seis años de exploits
- Los puentes siguen siendo los mayores objetivos. Cualquier arquitectura que agrupe grandes cantidades de activos detrás de un pequeño número de llaves o validadores es inherentemente de alto riesgo. El modelo de puente concentra el valor de una manera extremadamente atractiva para los atacantes.
- Los puntos centrales de fallo son críticos. Las billeteras multisig son tan seguras como sus firmantes. Si un puñado de personas puede autorizar transacciones de mil millones de dólares, comprometer a esas personas es suficiente. La gestión de llaves es el problema más difícil en la seguridad cripto.
- Las auditorías de código ayudan pero no son infalibles. Muchos protocolos explotados habían pasado por auditorías profesionales. Las auditorías reducen el riesgo pero no pueden garantizar la seguridad; son una foto fija en el tiempo y se pueden introducir nuevas vulnerabilidades mediante actualizaciones o composibilidad con otros protocolos.
- La ingeniería social es cada vez más común. A medida que los smart contracts se vuelven más seguros, los atacantes se dirigen a los humanos que los gestionan. Phishing, ofertas de trabajo falsas, canales de comunicación comprometidos y suplantación de identidad se utilizan para obtener acceso a llaves críticas.
- Los actores estatales están en el juego. Las operaciones persistentes y bien financiadas del Grupo Lazarus significan que los objetivos cripto de alto valor enfrentan amenazas comparables a las que enfrenta la infraestructura nacional. Este no es un problema que la industria pueda resolver sola.
Qué significa esto para los usuarios
Los usuarios individuales rara vez son el objetivo directo de estos exploits a gran escala. Pero entender el panorama de riesgos importa porque:
- Los protocolos en los que depositas pueden ser explotados. La diversificación entre protocolos reduce este riesgo.
- Los puentes que utilizas conllevan riesgos específicos y bien documentados. Minimiza la exposición a puentes cuando sea posible.
- Los exchanges en los que confías la custodia pueden fallar. Considera la autocustodia para cantidades significativas.
- Los ataques de front-end significan que siempre debes verificar qué estás firmando en tu wallet antes de aprobar transacciones.
Lecturas recomendadas:
Descubre cómo tu cartera está expuesta al riesgo de protocolos y puentes — sin necesidad de registro.