Rewards Hub En lo que va de 2026, los protocolos DeFi han registrado pérdidas superiores a 750 millones de dólares debido a hackeos y vulnerabilidades, y el año aún no ha llegado a su cuarto mes. Dos ataques suman más de 577 millones: el puente LayerZero de Kelp DAO fue drenado por 292 millones en rsETH el 19 de abril, y Drift Protocol perdió 285 millones el 1 de abril tras una campaña de ingeniería social que duró seis meses y fue atribuida a un grupo de hackers norcoreanos. Si se suman una docena de incidentes menores, de Step Finance a Grinex y CoW Swap, el primer trimestre de 2026 ya supera todos los totales anuales desde 2023.
La tendencia es clara: los datos de los principales exploits apuntan hacia los puentes intercadena, infraestructuras que permiten mover activos entre blockchains y que siguen generando las mayores pérdidas en un solo día en la historia cripto.
Principales hackeos DeFi en 2026 (actualizado hasta 19 de abril)
La siguiente tabla cubre los exploits confirmados por encima de 1 millón de dólares en 2026. Los incidentes menores se excluyen para facilitar la lectura aunque su impacto también es relevante. Al menos 34 incidentes de seguridad ocurrieron solo en el primer trimestre.
| Fecha | Protocolo | Monto perdido | Tipo de ataque | Cadena |
|---|---|---|---|---|
| 31 Ene | Step Finance | $27.3M | Compromiso de clave de tesorería | Solana |
| Ene | Truebit | $26.4M | Explotación de contrato inteligente | Ethereum |
| Ene | Resolv Labs | $23M | Compromiso de clave privada | Ethereum |
| 21 Feb | IoTeX ioTube Br. | $4.4M | Compromiso de clave privada (puente) | Ethereum |
| Feb | CrossCurve | $3M | Validación ausente en contrato de puente | Multicadena |
| Feb | Hyperbridge | $2.5M | Explotación de puente | Multicadena |
| 1 Abr | Drift Protocol | $285M | Ing. social + colateral falso | Solana |
| 3 Abr | Silo Finance | $392K | Configuración errónea de Oráculo | Ethereum |
| 9 Abr | Aethir | $423K | Explotación de control de acceso | Ethereum |
| 13 Abr | Dango | $410K | Bug en contrato inteligente (puente) | Multicadena |
| 14 Abr | CoW Swap | $1.2M | Secuestro de dominio | Ethereum |
| 15 Abr | Grinex | $13.74M | Drenaje de wallet de exchange | TRON/Ethereum |
| Abr | Rhea Finance | $7.6M | Contratos de tokens fraudulentos | Multicadena |
| 19 Abr | Kelp DAO | $292M | Falsificación de mensajes en puente LayerZero | Ethereum/Multicadena |
Los dos mayores incidentes, Drift y Kelp DAO, involucraron infraestructuras de conexión entre cadenas o de gestión de mensajes entre protocolos, y al menos cuatro exploits menores también afectaron componentes de puentes. Esta recurrencia coincide con el patrón histórico: los exploits de puentes suelen generar las mayores pérdidas individuales cada año.
Cómo sucedió el ataque a Drift Protocol
La pérdida de 285 millones de Drift Protocol el 1 de abril no fue causada por un bug tradicional en contratos inteligentes. La firma de seguridad TRM Labs rastreo el ataque hasta UNC4736, un grupo de hackers patrocinado por el Estado norcoreano, que llevó a cabo una campaña de ingeniería social de seis meses dirigida a miembros del equipo de Drift.
Los atacantes consiguieron acceso a una clave de administración privilegiada. Así, autorizaron como colateral un token sin valor (CVT), manipularon su cotización vía oráculos, depositaron 500 millones de CVT y retiraron 285 millones en USDC, SOL y ETH. La fuga total de fondos duró unos 12 minutos.
El valor total bloqueado (TVL) de Drift cayó de 550 a menos de 300 millones en una hora. Los fondos robados se trasladaron parcialmente a Ethereum vía el protocolo Cross-Chain Transfer de Circle y después se convirtieron a ETH para ser movidos a exchanges centralizados. Chainalysis publicó un análisis detallado posmortem sobre el rastro de lavado.
La lección es incómoda para los desarrolladores DeFi: los contratos de Drift habían sido auditados múltiples veces. La vulnerabilidad fue humana: quienes custodiaban las claves administrativas fueron el eslabón más débil y un grupo estatal lo aprovechó.
Cómo fue drenado el puente de Kelp DAO
El exploit de Kelp DAO por 292 millones el 19 de abril afectó a su puente LayerZero, y el impacto no se limitó solo a Kelp. El atacante falsificó un mensaje intercadena, engañando la capa de mensajes de LayerZero para aceptar una instrucción aparentemente válida. Así, el puente de Kelp liberó 116,500 rsETH al atacante.
Esa cantidad representaba aproximadamente el 18% del suministro de rsETH. El puente comprometido mantenía reservas que respaldaban versiones envueltas de rsETH en más de 20 blockchains, exponiendo a todos los protocolos que aceptaban rsETH como colateral.
Aave congeló sus mercados de rsETH en V3 y V4 en pocas horas. SparkLend y Fluid hicieron lo propio. El token de AAVE cayó un 16% en la misma jornada, ya que los depositantes retiraron fondos de protocolos con exposición a rsETH. El multisig de emergencia de Kelp pausó los contratos 46 minutos después, pero el daño ya estaba hecho. Aave sigue calculando la deuda incobrable derivada de prestatarios que usaron el rsETH desvinculado como garantía.
¿Por qué los puentes siguen siendo vulnerables?
Desde 2022, los puentes han generado más de 2.800 millones de dólares en pérdidas, cerca del 40% de todo el valor robado en Web3. La razón es estructural, no accidental, y existen tres factores principales:
Custodian grandes volúmenes. El TVL de los puentes llegó a 21.940 millones en marzo de 2026. Un puente que custodia activos envueltos en 20 cadenas representa un único punto de falla para toda esa red. Cuando el puente de Kelp se rompió, Aave perdió 6.000 millones de TVL por retiros de usuarios sin que su propio contrato fuera afectado.
Es difícil verificar mensajes intercadena. Cada puente requiere un mecanismo para confirmar que un mensaje de la Cadena A es legítimo antes de liberar fondos en la Cadena B. Algunos usan validadores multisig, otros oráculos, otros pruebas de conocimiento cero. Cada enfoque tiene sus riesgos. La integración LayerZero de Kelp fue vulnerada porque se logró falsificar una instrucción intercadena aparentemente válida.
El riesgo trasciende el código. El incidente de Drift no fue un fallo de código, sino resultado de seis meses de ingeniería social contra quienes controlaban las claves de administración. Según firmas de seguridad, los compromisos de claves privadas representaron el 88% de los fondos robados en el primer trimestre de 2025, y la tendencia se mantiene en 2026. Las auditorías de contratos inteligentes mitigan errores de código, pero no protegen frente a ataques de ingeniería social.
A modo de referencia, los mayores exploits de puentes en la historia de las criptomonedas siguen un patrón similar. Ronin Bridge perdió 625 millones en 2022 por la vulneración de validadores. Puente Wormhole perdió 320 millones ese año debido a un fallo en la verificación de firmas. Nomad perdió 190 millones por un error de configuración. Aunque la tecnología evoluciona, las fallas se repiten debido a problemas arquitectónicos más que de implementación.
2026 vs. años anteriores
Los datos lo dejan claro al comparar año tras año:
| Año | Pérdidas totales cripto | Explot mayor | Fuente |
|---|---|---|---|
| 2022 | $3.8B | Ronin, $625M | Chainalysis |
| 2023 | $1.7B | Mixin, $200M | Chainalysis |
| 2024 | $2.2B | DMM, $305M | Chainalysis |
| 2025 | $3.4B | Bybit, $1.4B | Chainalysis |
| 2026 (a 19 abr) | $750M+ | Kelp, $292M | DefiLlama/PeckShield |
En menos de cuatro meses, 2026 supera ya los 750 millones de pérdidas. Si la tendencia se mantiene, las pérdidas anuales podrían acercarse a los 2.500 millones, aunque la frecuencia de hackeos es variable y un solo exploit puede elevar la cifra. Preocupa especialmente el tamaño de los incidentes: Drift (285M) y Kelp (292M) ya superan cualquier exploit DeFi de 2023 o 2024. El caso Bybit en 2025 mostró que los ataques de más de 1.000 millones son posibles. Y los datos 2026 confirman que los puentes siguen siendo el objetivo más eficiente para ataques de alto valor.
Qué deben considerar los usuarios de DeFi
Si tienes activos en protocolos DeFi, la experiencia de 2026 sugiere:
Revisa tu exposición a puentes. Si tus tokens son versiones envueltas que dependen de puentes, asumes un riesgo que muchos ignoran hasta que ocurre un incidente. El caso Kelp mostró que holders de rsETH en 20 cadenas perdieron valor aunque nunca interactuaron directamente con Kelp. Protocolos como Aave congelaron mercados, pero quienes retiraron temprano protegieron su capital.
Multisig no es garantía absoluta. Tanto Drift como Kelp tenían sistemas multisig. En Drift, la clave de administración fue comprometida tras meses de ingeniería social. En Kelp, el multisig pausó contratos 46 minutos después, demasiado tarde para evitar la pérdida. El multisig retrasa, pero no impide ataques bien preparados.
Tener activos nativos en exchanges elimina el riesgo de puente. Mantener BTC, ETH o SOL directamente en un exchange regulado como Phemex elimina riesgos de contratos inteligentes, puentes o manipulación de oráculos, aunque implica riesgo custodial en vez de riesgo DeFi.
Preguntas frecuentes
¿Cuál fue el mayor hackeo DeFi de 2026?
El exploit de Kelp DAO de 292 millones el 19 de abril lidera, seguido de cerca por la pérdida de 285 millones de Drift Protocol. Ambos afectaron infraestructuras de conexión intercadena, no solo contratos de un protocolo.
¿Por qué siguen ocurriendo hackeos de puentes?
Los puentes custodian grandes reservas y dependen de sistemas de mensajería intercadena difíciles de verificar. Al ser vulnerados, permiten vaciar todas las reservas asociadas en una sola transacción.
¿Cuánto se ha robado en DeFi en 2026?
Las pérdidas totales en DeFi y cripto superaron los 750 millones hasta mediados de abril, según DefiLlama y PeckShield. Solo en el primer trimestre se contabilizaron 34 incidentes y más de 168 millones, antes de los grandes ataques de abril.
¿Cómo protegerse de hackeos DeFi?
Limita tu exposición a activos envueltos y verifica si los protocolos que usas dependen de puentes externos para su colateralización. Considera mantener activos nativos en exchanges regulados cuando no utilices DeFi. Ninguna medida elimina todo el riesgo, pero reducir la exposición a puentes disminuye la probabilidad de pérdida.
Conclusión
Las infraestructuras de puente han sido responsables de dos de los tres mayores exploits DeFi en 2026, y los fallos se repiten desde 2022. Los atacantes no encuentran nuevas vulnerabilidades, sino que explotan debilidades estructurales en la verificación intercadena y la gestión de claves humanas, que se agravan a mayor escala porque el TVL en puentes sigue creciendo. El ataque a Kelp congeló mercados de rsETH en 20 cadenas y dejó deuda en Aave, probando que el riesgo de puente no se limita solo a sus usuarios. Si interactúas con protocolos que aceptan colateral envuelto, asumes ese riesgo. Los proyectos que sobrevivan a futuros exploits serán los que eliminen dependencias de puente o implementen sistemas de verificación más robustos.
Este artículo es solo informativo y no constituye asesoramiento financiero o de inversión. El trading con criptomonedas implica riesgos significativos. Realiza tu propia investigación antes de tomar decisiones de inversión.
