Esta primavera se produce un aumento sin precedentes en los atracos de monedas digitales de alto perfil

La industria de las criptomonedas vivió su capítulo más oscuro en abril de 2026, estableciendo un récord sin precedentes en cuanto al volumen de violaciones de seguridad. Si bien la cantidad total de dólares robados no superó los récords de meses anteriores, la frecuencia de los ataques alcanzó niveles históricos. La plataforma de análisis de datos DeFi Llama documentó que los incidentes de explotación superaron cómodamente los 20 por primera vez en la historia de las criptomonedas. Los hacks de criptomonedas en abril alcanzaron un récord y las pérdidas por explotación alcanzaron los 651 millones de dólares. Según DefiLlama, en abril se registró el mayor número de incidentes de piratería de criptomonedas registrados. CertiK Alert informó que las pérdidas confirmadas por exploits ascendieron a alrededor de $651 millones en abril, incluyendo… pic.twitter.com/rydZC5vVu2 – Wu Blockchain (@WuBlockchain) 1 de mayo de 2026 La analista de la industria Stacy Muur identificó un mínimo de 24 incidentes de seguridad distintos para fin de mes, calculando pérdidas agregadas que superan los $600 millones. La violación más catastrófica del mes tuvo como objetivo Kelp DAO, una plataforma financiera descentralizada, lo que resultó en 292 millones de dólares en activos robados. Este exploit masivo hizo sonar la alarma sobre la posible exposición a deudas incobrables en Aave, considerado uno de los protocolos de préstamos más destacados del ecosistema DeFi. Múltiples entidades se movilizaron con fondos de emergencia y contribuciones para abordar el déficit. Drift Protocol, una plataforma de comercio perpetuo construida sobre Solana, experimentó el segundo ataque más dañino del mes con pérdidas superiores a los 280 millones de dólares. El equipo de Drift aclaró más tarde que la infracción no era una vulnerabilidad de contrato inteligente convencional. Lo caracterizaron como una “operación de inteligencia estructurada” que los atacantes habían orquestado cuidadosamente durante aproximadamente medio año. Las metodologías de ataque empleadas a lo largo de abril se han convertido en un punto focal para los analistas de seguridad. Un observador de criptomonedas que utiliza el identificador CuriousCrypto en X destacó que ni Drift ni Kelp DAO fueron víctimas de fallas de codificación o vulnerabilidades de contratos inteligentes. Más bien, los actores maliciosos aprovecharon tácticas de ingeniería social para comprometer a las personas que tenían acceso a claves administrativas. Esto representa un cambio crítico en los patrones de ataque. Los procedimientos de auditoría de código mejorados y las medidas de seguridad técnicas habrían resultado ineficaces contra estos vectores de ataque centrados en humanos. Hyperbridge, un protocolo nativo del ecosistema de Polkadot, también fue víctima de atacantes en abril, perdiendo 2,5 millones de dólares. Inicialmente, el perpetrador extrajo aproximadamente 245 ETH antes de implementar un mensaje fabricado entre cadenas para eludir una validación de seguridad crítica. Esta manipulación les permitió crear aproximadamente mil millones de tokens DOT puenteados, que posteriormente fueron liquidados en los intercambios. El analista de seguridad de Blockchain, Wazz, dio la alarma el 30 de abril sobre lo que parecía ser un exploit en curso dirigido a la red principal de Ethereum. Cientos de direcciones de billetera, muchas de ellas inactivas durante más de siete años, fueron vaciadas sistemáticamente por una sola dirección de atacante en un período de tiempo comprimido. Wazz caracterizó la situación como un “nuevo exploit en vivo, que vale la pena señalar”, al tiempo que reconoció que los detalles completos seguían sin verificar en ese momento. Según los informes de seguridad, el famoso Grupo Lazarus, una organización de delitos cibernéticos con vínculos con Corea del Norte, fue responsable de aproximadamente el 95% de las pérdidas financieras acumuladas de abril. Este colectivo había estado implicado anteriormente en el compromiso masivo de Bybit por valor de 1.400 millones de dólares que se produjo en febrero de 2025. Si bien los datos históricos de DeFi Llama muestran tres meses distintos en los que las pérdidas de criptomonedas superaron los 1.000 millones de dólares en valor total, la importancia de abril de 2026 radica en la cantidad sin precedentes de ataques individuales en lugar de cantidades agregadas en dólares. El 30 de abril, Arbitrum DAO inició una votación de gobernanza para autorizar la liberación de 30,766 ETH congelados a DeFi United, una acción directamente relacionada con abordar las consecuencias derivadas del incidente de Kelp DAO.