Los hacks de Web3 costaron 464 millones de dólares en el primer trimestre, ya que el phishing genera la mayoría de las pérdidas: Hacken

Los proyectos Web3 perdieron 464,5 millones de dólares debido a hackeos y estafas en el primer trimestre de 2026, mientras que los “mega hackeos” multimillonarios dieron paso a un mayor número de incidentes de tamaño mediano, según la empresa de seguridad blockchain Hacken.

Según el informe de Hacken para el primer trimestre de 2026, los ataques de phishing y de ingeniería social dominaron el período y representaron 306 millones de dólares en pérdidas en un trimestre en el que se produjeron 43 incidentes en total. Una única estafa de billeteras de hardware por valor de 282 millones de dólares en enero fue responsable del 81% de los daños del trimestre.

Los exploits de contratos inteligentes ascendieron a 86,2 millones de dólares, con fallas en el control de acceso, incluidas claves y servicios en la nube comprometidos, lo que generó pérdidas adicionales de 71,9 millones de dólares.

Las pérdidas sitúan este trimestre como el segundo más bajo desde 2023, con la ausencia de un solo mega hackeo en la escala de Bybit, que perdió 1.460 millones de dólares en el primer trimestre de 2025, el principal impulsor de la caída interanual.

El mapeo de incidentes de Hacken muestra que las fallas más grandes ocurren cada vez más fuera del código en cadena, en capas operativas y de infraestructura que las auditorías tradicionales rara vez tocan. Yev Broshevan, director ejecutivo y cofundador de Hacken, dijo a Cointelegraph que las fallas más costosas "ocurren completamente fuera de la capa del código".

Relacionado: Aethir detiene la explotación del puente y promete una compensación después de una pérdida de 90.000 dólares

Según Hacken, ese cambio está atrayendo un mayor escrutinio por parte de los reguladores y las contrapartes institucionales, con marcos como la Regulación de los Mercados de Criptoactivos (MiCA) y la Ley de Resiliencia Operacional Digital (DORA) en la Unión Europea avanzando hacia la aplicación y aumentando las expectativas en torno al monitoreo continuo de la seguridad y la respuesta a incidentes.

Código heredado, llamadas de VC falsas y compromisos clave

Broshevan señaló 306 millones de dólares en phishing, una llamada falsa de capitalista de riesgo (VC) vinculada a Corea del Norte por 40 millones de dólares contra Step Finance y un compromiso del servicio de gestión de claves de AWS de 25 millones de dólares en Resolv Labs. Incluso cuando los contratos inteligentes eran los culpables, los errores más costosos a menudo se encontraban en implementaciones heredadas y clases de vulnerabilidad conocidas. Truebit perdió 26,4 millones de dólares debido a un error en un contrato de Solidity implementado hace unos cinco años, mientras que el Protocolo Venus se vio afectado por un patrón de ataque de donación documentado desde 2022.

Primer trimestre de 2025 en comparación con el primer trimestre de 2026. Fuente: Hacken.

Seis proyectos auditados, incluido Resolv con 18 auditorías y Venus con cinco empresas distintas, todavía representaron pérdidas de 37,7 millones de dólares. En promedio, eso fue más que sus pares no auditados porque los protocolos de valor total bloqueado (TVL) más altos atraen a atacantes y exploits más sofisticados.

Los organismos de control globales endurecen las expectativas de respuesta a incidentes

En el primer trimestre, MiCA y DORA en la UE avanzaron hacia una aplicación activa, el regulador de Dubai, la Autoridad Reguladora de Activos Virtuales, endureció las expectativas en torno a su Reglamento de Tecnología e Información, Singapur aplicó reglas de capital alineadas con Basilea y notificación de incidentes en una hora, y la nueva Autoridad del Mercado de Capitales de los Emiratos Árabes Unidos asumió la supervisión federal de los activos digitales con poderes más amplios y sanciones más altas.

Pérdidas totales de criptomonedas por trimestre. Fuente: Hacken

Relacionado: Los piratas informáticos criptográficos roban 169 millones de dólares de 34 protocolos DeFi en el primer trimestre: DefiLlama

Hacken vincula esos regímenes a un nuevo punto de referencia para pilas "listas para el regulador" que incluye certificaciones de prueba de reservas respaldadas por conciliación interna diaria, monitoreo en cadena las 24 horas del día, los 7 días de la semana en billeteras de tesorería y roles privilegiados, disyuntores automáticos en funciones de acuñación y gobernanza y relojes de notificación de incidentes calibrados según el estándar aplicable más estricto.

El informe destaca objetivos "realistas" de concientización en 24 horas, etiquetado en cuatro horas y bloqueo en 30 segundos, con objetivos "aspiracionales" tan bajos como 10 minutos para la detección y 1 segundo para el bloqueo, según la orientación de los datos de la Carrera de Lavado de 2025 de Global Ledger.

En el nivel humano, Hacken señala a los clusters norcoreanos como la amenaza operativa más consistente, con la pérdida de 40 millones de dólares de Step Finance y la violación de la infraestructura de Bitrefill ampliando un manual de extensión de capital de riesgo falso, herramientas de videollamadas maliciosas y puntos finales de empleados comprometidos que extrajeron aproximadamente 2.040 millones de dólares del sector en 2025.

Revista: XRP aún no ha puesto precio a 3 catalizadores alcistas, ¿Bitcoin a 80.000 dólares? Secretos comerciales