Análisis de las vulnerabilidades de seguridad en la industria cripto: 20 incidentes de ataque típicos revelan tres grandes patrones

BroadChain de BroadChain se enteró de que el 21 de abril a las 18:16, en abril de 2026, Kelp DAO sufrió un ataque donde los atacantes utilizaron tokens sin colateral para pedir prestados activos reales en Aave, generando más de 200 millones de dólares en deudas incobrables en 46 minutos, con pérdidas totales de 292 millones de dólares. Este es solo un ejemplo de una serie de incidentes de seguridad recientes, como el robo de 285 millones de dólares en Drift Protocol, pérdidas de aproximadamente 30 millones de dólares en Step Finance, y pérdidas de alrededor de 23 millones de dólares en Resolv Labs, entre otros casos consecutivos. Al analizar un total de 20 incidentes representativos de robos históricos y recientes, se pueden observar tres patrones significativos: los casos de vulnerabilidades técnicas son más numerosos, pero las pérdidas individuales son relativamente limitadas; aunque los casos de ataques de permisos e ingeniería social son menos frecuentes, contribuyen a la mayor parte de las pérdidas totales; y la escala de los ataques de permisos está aumentando continuamente. Es notable que detrás de los cuatro incidentes con mayores pérdidas hay rastros de grupos de hackers norcoreanos, mientras que el campo de batalla de las vulnerabilidades técnicas se está desplazando, siendo especialmente prominentes los problemas de seguridad en el ámbito de los puentes cross-chain. Entre los diez proyectos con las mayores pérdidas, Bybit fue robado por 1.5 mil millones de dólares en febrero de 2025, debido a que el grupo de hackers norcoreano Lazarus Group comprometió el mecanismo de múltiples firmas de Safe Wallet mediante el secuestro de la interfaz de usuario frontal y fraude de múltiples firmas; Ronin Network perdió 624 millones de dólares en marzo de 2022, también atribuido a Lazarus Group, que obtuvo las claves privadas de los nodos validadores mediante ingeniería social; Poly Network fue robado por 611 millones de dólares en agosto de 2021, principalmente debido a graves vulnerabilidades en la gestión de permisos de los contratos cross-chain; Wormhole perdió 326 millones de dólares en febrero de 2022, debido al uso de funciones obsoletas e inseguras en la verificación de firmas; Drift Protocol fue robado por 285 millones de dólares en abril de 2026, donde los atacantes utilizaron una infiltración dirigida de seis meses combinada con un esquema de pre-firma de Solana Durable Nonce; WazirX perdió 235 millones de dólares en julio de 2024, debido a que su billetera de múltiples firmas fue gradualmente comprometida y reemplazada por un contrato malicioso; Cetus perdió 223 millones de dólares en mayo de 2025, donde el ataque explotó una vulnerabilidad de desbordamiento aritmético en el cálculo de liquidez del protocolo; Gala Games perdió 216 millones de dólares en mayo de 2024, principalmente porque las claves privadas de cuentas de acuñación de alto permiso fueron comprometidas; Mixin Network perdió 200 millones de dólares en septiembre de 2023, debido al robo de claves privadas almacenadas centralmente en una base de datos en la nube; Euler Finance perdió 197 millones de dólares en marzo de 2023, donde el ataque explotó inconsistencias en la lógica de cálculo de activos y pasivos internos del protocolo. Entre los diez incidentes recientes, Hyperbridge perdió aproximadamente 2.5 millones de dólares en abril de 2026, debido a defectos en la lógica de verificación de pruebas del Token Gateway; Venus Protocol perdió entre 3.7 y 5 millones de dólares en marzo de 2026, donde los atacantes eludieron la verificación del límite de suministro y explotaron vulnerabilidades en la lógica de cálculo de tasas de conversión para obtener ganancias.