Evolución de los patrones de ataque en la industria cripto vista a través de 20 incidentes de seguridad

BroadChain se enteró de que a las 19:00 del 21 de abril de 2026, Kelp DAO sufrió una pérdida de 292 millones de dólares debido a que un atacante utilizó tokens sin garantía para obtener préstamos en Aave, lo que es solo un ejemplo de una serie de incidentes de seguridad recientes. Desde los 285 millones de dólares de Drift Protocol hasta los aproximadamente 30 millones de dólares de Step Finance y los aproximadamente 23 millones de dólares de Resolv Labs, la industria enfrenta desafíos de seguridad continuos. A través del análisis de 20 casos representativos en la historia, se pueden observar varias tendencias clave: aunque las vulnerabilidades técnicas representan la mayoría, las pérdidas individuales son relativamente limitadas, mientras que los ataques de permisos e ingeniería social, aunque menos frecuentes, contribuyen a la mayor parte del total de pérdidas. La escala de los ataques de permisos continúa aumentando, y los cuatro incidentes con mayores pérdidas están relacionados con grupos de hackers norcoreanos. Al mismo tiempo, el campo de batalla de las vulnerabilidades técnicas se está desplazando, y los problemas de seguridad de los puentes cross-chain son particularmente destacados. Entre los diez proyectos con mayores pérdidas, Bybit perdió 1.5 mil millones de dólares en febrero de 2025 debido a que el grupo de hackers norcoreano Lazarus Group realizó un secuestro de front-end y fraude multisig; Ronin Network perdió 624 millones de dólares en marzo de 2022 debido a un ataque de ingeniería social; Poly Network perdió 611 millones de dólares en agosto de 2021 debido a una vulnerabilidad de permisos en contratos cross-chain; Wormhole perdió 326 millones de dólares en febrero de 2022 debido a una vulnerabilidad en la verificación de firmas; Drift Protocol perdió 285 millones de dólares en abril de 2026 debido a una infiltración dirigida y un fraude de pre-firma; WazirX perdió 235 millones de dólares en julio de 2024 debido a la penetración gradual de una billetera multisig; Cetus perdió 223 millones de dólares en mayo de 2025 debido a una vulnerabilidad de desbordamiento aritmético; Gala Games perdió 216 millones de dólares en mayo de 2024 debido a la filtración de claves privadas de cuentas con altos permisos; Mixin Network perdió 200 millones de dólares en septiembre de 2023 debido a la filtración de claves privadas de una base de datos en la nube; Euler Finance perdió 197 millones de dólares en marzo de 2023 debido a inconsistencias en la lógica de cálculo interno explotadas por un flash loan. En casos recientes, Hyperbridge perdió aproximadamente 2.5 millones de dólares en abril de 2026 debido a un defecto en la lógica de verificación de pruebas, y Venus Protocol perdió entre 3.7 y 5 millones de dólares en marzo de 2026. Estos incidentes revelan que los patrones de ataque están evolucionando desde simples vulnerabilidades en contratos inteligentes hacia ataques combinados más complejos dirigidos a debilidades en la interacción humano-máquina y la gestión de permisos.