En Resumen
- Los hacks de DeFi superaron $840 millones en los primeros cinco meses de 2026, con abril concentrando $600 millones en pérdidas.
- Actores vinculados a Corea del Norte representaron el 76% de las pérdidas globales, según TRM Labs, frente al 64% registrado en 2025.
- Expertos de CertiK y Blockaid advirtieron que la IA está acelerando el descubrimiento de vulnerabilidades por parte de atacantes.
Este 2026 ha sido uno de los peores años en registro para los hacks de DeFi, y apenas vamos por la mitad.
En los primeros cinco meses de 2026, se perdieron más de $840 millones en hacks de DeFi—con abril representando por sí solo más de $600 millones robados, liderado por dos de los mayores ataques del año: el exploit de $292 millones a KelpDAO y la brecha de $285 millones en Drift Protocol.
Las pérdidas continuaron en mayo, con THORChain deteniendo las operaciones tras investigadores de seguridad detectar un presunto exploit cross-chain que afectó más de $10 millones.
TrustedVolumes, Echo Protocol, Step Finance, Truebit, Resolv Labs, Volo Protocol, Rhea Finance, el puente Verus-Ethereum, y muchos otros completan una lista de víctimas que parece una prueba de estrés de cada suposición de confianza en la que DeFi se apoya, según datos de DeFiLlama.
Los expertos consultados por Decrypt coinciden ampliamente en el diagnóstico de que los recientes hacks de DeFi están exponiendo debilidades estructurales en los puentes y sistemas de administración, mientras que los avances en IA podrían estar ayudando a los atacantes a encontrar vulnerabilidades más rápido.
Natalie Newson, investigadora senior de blockchain en la plataforma de seguridad Web3 CertiK, señaló a Decrypt que si bien abril fue inusualmente grave en cuanto a exploits cripto, la tendencia general se mantiene más estable y por debajo del pico de incidentes registrado en 2023.
"Abril de 2026 fue un mal mes para los exploits cripto; solo hubo tres días sin un exploit en el que se robaron al menos $10.000", afirmó.
"Sin embargo, cuando miramos el panorama más amplio, el número de incidentes (excluyendo el phishing) ha sido bastante consistente y todavía está por debajo del pico de 2023", señaló Newson, agregando que la gravedad de abril fue impulsada por 14 exploits que superaron $1 millón en pérdidas, solo por detrás de los 16 registrados en septiembre de 2025.
El factor Corea del Norte
Ari Redbord, Director Global de Política y Asuntos Gubernamentales de TRM Labs, dijo a Decrypt que el repunte se remonta a un único actor estatal que en cinco años pasó de ser un jugador marginal a convertirse en la amenaza definitoria del sector.
"El principal motor es Corea del Norte, y esa campaña se está volviendo más precisa, no más amplia", afirmó Redbord, señalando que los actores vinculados a Corea del Norte representaron el 76% de las pérdidas globales por hacks cripto en los primeros cuatro meses de 2026, frente al 64% en 2025 y menos del 10% en 2020.
"Corea del Norte no solo usa tecnología para atacar el ecosistema, sino también ingeniería social sofisticada y bien planificada", añadió.
El mayor hack de DeFi del año hasta ahora afectó a KelpDAO el 18 de abril, cuando los atacantes drenaron alrededor de 116.500 rsETH, equivalentes a aproximadamente $292 millones, de un puente cross-chain.
LayerZero, cuya infraestructura de mensajería respaldaba el puente, indicó en el último informe postmortem que el ataque comenzó el 6 de marzo, cuando un desarrollador fue víctima de ingeniería social y sus claves de sesión fueron comprometidas.
We’re sharing our completed post-mortem on the April 18th incident, prepared with @Mandiant and @CrowdStrike. We are publishing both an executive summary and the full report at the link below.
Over the past four weeks, we’ve worked with hundreds of partners to help them… pic.twitter.com/yVZdqjLTeT
— LayerZero (@LayerZero_Core) May 20, 2026
El protocolo de mensajería cross-chain indicó que el ataque fue atribuido por Mandiant, CrowdStrike e investigadores independientes al actor de amenazas norcoreano TraderTraitor, también conocido como UNC4899.
La razón estructural por la que DeFi sigue absorbiendo los golpes, agregó Redbord, se reduce a dónde está el dinero y cómo se mueve.
"La complejidad cross-chain de DeFi lo convierte en un entorno rico en objetivos—los puentes producen consistentemente las mayores pérdidas por incidente, y los patrones de fallo se repiten con una consistencia llamativa porque el problema central es arquitectónico", señaló.
Patrones recurrentes
Raz Niv, cofundador y CTO de la plataforma de seguridad onchain Blockaid, dijo a Decrypt que tres patrones técnicos siguen apareciendo en los mayores incidentes del año: fallos en el control de acceso privilegiado, actualizaciones maliciosas de proxies en las que los atacantes reemplazan contratos de implementación por versiones con puertas traseras, y brechas en la verificación de mensajes cross-chain.
Sobre el acceso privilegiado, Niv señaló que la firma monitorea "eventos anómalos de 'Role Granted' y escaladas de privilegios no autorizadas", con incidentes como el exploit de Echo Protocol que se remonta a claves de administrador comprometidas o mal configuradas.
"Los atacantes o bien manipulan mediante ingeniería social para obtener claves privadas, o explotan umbrales de multisig mal diseñados", añadió.
Apuntó a fallos en controles de acceso privilegiado, actualizaciones maliciosas de proxies y sistemas de verificación cross-chain, indicando que los ataques recientes están exponiendo debilidades más profundas en los supuestos que conectan una infraestructura cada vez más compleja.
"El hilo conductor no es la complejidad en sí", afirmó Niv. "Es que cada capa de abstracción (proxies, roles de administrador, mensajería cross-chain) introduce suposiciones de confianza que los atacantes sondean metódicamente".
La influencia de la IA
Niv señaló que la IA está transformando cada vez más el descubrimiento de exploits, aunque advirtió que su impacto suele malinterpretarse.
Los modelos actuales son cada vez más efectivos para identificar vulnerabilidades conocidas a escala y están "automatizando lo que hacen los auditores especializados", dijo, advirtiendo que "la preocupación real no es que la IA reemplace a los atacantes humanos" sino que la IA "amplifica a los atacantes" al encargarse del reconocimiento y liberarlos para enfocarse en técnicas más sofisticadas.
"La buena noticia es que los defensores pueden usar las mismas herramientas. El monitoreo y la simulación asistidos por IA se están volviendo esenciales para los equipos de seguridad que intentan mantenerse al día", añadió Niv.
Ante el aumento de los hacks de DeFi, Newson apuntó a una tendencia similar, señalando que "un factor que probablemente contribuye, aunque no es el único, son los avances en IA".
Agregó que CertiK ha observado un aumento en la explotación de contratos más antiguos y no verificados, lo que lleva a "la suposición lógica de que la IA está ayudando a encontrar vulnerabilidades".
De manera similar, Redbord afirmó que "los actores maliciosos están desplegando IA a escala" en el reconocimiento, la ingeniería social y el diseño de exploits, añadiendo que la sofisticación observada en ataques como el de Drift parece "consistente con flujos de trabajo asistidos por IA".
Los analistas de TRM creen que los operadores norcoreanos están incorporando cada vez más herramientas de IA a sus operaciones, señalando que "la respuesta es desplegar IA en la defensa con la misma agresividad con que los adversarios la despliegan en el ataque".
Más allá del código
Redbord señaló que los hacks de DeFi son "un problema solucionable", pero indicó que la industria debe ser más honesta sobre dónde están ocurriendo realmente los fallos.
Apuntó que "las auditorías protegen contra errores de código" pero no contra campañas sofisticadas de ingeniería social como la de Drift, donde proxies norcoreanos supuestamente pasaron meses cultivando acceso antes de la brecha.
"El modelo que funciona es la coordinación público-privada en tiempo real", agregó el experto.
Newson señaló que 2026 puede representar "un punto de inflexión evolutivo", indicando que la industria está aprendiendo que la ciberseguridad es un "problema de pila completa" que abarca "la IA, la RPDC, o la infraestructura y el personal".
"No importa cuán perfecta sea tu matemática on-chain si tus procesos humanos off-chain son vulnerables", afirmó, señalando que la industria está avanzando cada vez más hacia "soluciones prácticas y estructurales" para abordar los riesgos de infraestructura e ingeniería social.
Golpe a la confianza
El daño a la confianza en el ecosistema DeFi es más difícil de cuantificar pero fácil de observar.
El exploit a Kelp DAO desencadenó una ola de retiros de $6.200 millones solo de Aave, antes de que un esfuerzo de rescate liderado por el CEO de Aave, Stani Kulechov, denominado "DeFi United", recaudara 132.650 ETH equivalentes a aproximadamente $303 millones para cubrir la deuda incobrable.
La respuesta coordinada demuestra que la industria puede movilizarse. También muestra cuánto capital se necesita para cubrir un único exploit en un puente.
Newson señaló que las consecuencias dependen enteramente de quiénes se vean afectados.
"Los veteranos de la industria pueden ver las últimas seis semanas como algo normal—simplemente la próxima norma evolutiva y una dura experiencia de la que aprender", afirmó.
Apuntó que el impacto de los exploits repetidos luce muy diferente para los participantes más nuevos del mercado, advirtiendo que para los usuarios que pierden fondos significativos, las consecuencias no son una "experiencia de aprendizaje" sino que plantean "preguntas existenciales" sobre la "viabilidad y seguridad" a largo plazo de las criptomonedas, y las soluciones técnicas suelen llegar demasiado tarde para revertir el daño.