← Volver a los artículos

Cómo funcionan los exploits DeFi: patrones de ataque, riesgos on-chain y qué pueden hacer las víctimas

23 de junio de 202616 min de lecturaInteligencia de amenazas
Cómo funcionan los exploits DeFi: patrones de ataque, riesgos on-chain y qué pueden hacer las víctimas

Los protocolos DeFi han perdido colectivamente miles de millones de dólares a causa de exploits desde 2020. El segundo trimestre de 2026 fue el peor trimestre registrado, con más de 70 ataques distintos que drenaron aproximadamente 746 millones de dólares en tan solo tres meses. La mayoría de los afectados no tenía idea de que estaba expuesta. Habían depositado fondos en lo que parecía un protocolo legítimo, habían obtenido rendimiento durante meses y, una mañana, encontraron su saldo a cero. Comprender cómo funcionan estos ataques, cómo reducir la exposición on-chain y qué pasos concretos dar si un protocolo que utilizaste es explotado no es un conocimiento opcional para nadie que participe en DeFi.

1. Por qué DeFi es especialmente vulnerable a los exploits

Las finanzas descentralizadas se construyen sobre tres propiedades que las hacen al mismo tiempo poderosas y peligrosas: código de fuente abierta, componibilidad e irreversibilidad. Cualquier contrato inteligente desplegado en una blockchain pública es legible por cualquier persona, incluidos los atacantes. Las firmas de auditoría revisan el código antes del lanzamiento, pero las auditorías tienen un alcance limitado y no pueden predecir cómo interactuarán los contratos una vez que estén activos en un ecosistema complejo donde decenas de protocolos se componen entre sí en tiempo real.

La componibilidad se describe a menudo como "dinero Lego" porque los protocolos pueden apilarse unos sobre otros, con la salida de uno alimentando directamente al siguiente. Esto crea una enorme eficiencia, pero también una enorme superficie de ataque. Una vulnerabilidad en un único pool de liquidez puede combinarse con préstamos flash de un protocolo de préstamos separado, enrutando a través de un bridge, para producir un ataque que ninguna auditoría individual podría haber anticipado.

La tercera propiedad es la irreversibilidad. Cuando un exploit drena fondos on-chain, no hay contracargo, no hay equipo de fraude al que llamar y no hay forma de revertir la transacción. El FBI advirtió sobre esto directamente en agosto de 2022, señalando que entre enero y marzo de 2022, el 97% de todas las criptomonedas robadas provenían de plataformas DeFi. [1] Ese mismo informe documentó 1.300 millones de dólares robados de DeFi solo en el primer trimestre de ese año.

La magnitud del problema en 2026

El segundo trimestre de 2026 fue el trimestre con más actividad de exploits cripto jamás registrado. Más de 70 incidentes distintos drenaron aproximadamente 746 millones de dólares de protocolos DeFi e infraestructura relacionada entre abril y junio de 2026. [10][15] Los bridges entre cadenas representaron aproximadamente 351 millones de dólares de ese total. El número de incidentes trimestrales superó todos los récords anteriores, incluidos los peores trimestres del boom DeFi de 2022.

Para contexto: el récord anual anterior fue de 3.800 millones de dólares robados a lo largo de todo 2022, cuando los exploits de bridges en Ronin y Wormhole ocuparon los titulares mundiales. [4] La superficie de ataque DeFi no se ha reducido. Ha crecido.

Chainalysis reportó que 2.200 millones de dólares fueron robados de plataformas cripto a lo largo de 2024, con el compromiso de claves privadas y las vulnerabilidades DeFi como los dos vectores dominantes. [2] El informe sobre crímenes cripto 2026 de TRM Labs confirmó la trayectoria ascendente, documentando que los ataques a infraestructura dirigidos a claves privadas y credenciales de administrador representaron el 76% de todo el valor cripto robado en 2025. [6]

Las siguientes secciones detallan cada categoría principal de ataque con ejemplos específicos, explican por qué funciona cada una e identifican qué pasos prácticos pueden dar los usuarios para reducir su exposición.

2. Ataques a bridges entre cadenas: el vector de mayores pérdidas

Los bridges entre cadenas permiten a los usuarios mover activos de una blockchain a otra bloqueando tokens en la cadena de origen y acuñando tokens equivalentes en la cadena de destino. Miles de millones de dólares en liquidez residen dentro de los contratos inteligentes de bridges en cualquier momento dado, lo que los convierte en uno de los objetivos más valiosos de todo el ecosistema cripto.

La superficie de ataque de un bridge es más amplia de lo que la mayoría de los usuarios perciben. Los bridges no dependen únicamente del código de contrato inteligente, sino también de redes de validadores fuera de cadena, procesos de firma multifirma y, en algunos casos, operadores centralizados que poseen claves privadas. Cualquiera de estos componentes puede ser el eslabón débil.

El ataque al bridge Wormhole en febrero de 2022 explotó un fallo de verificación de firma en el contrato inteligente del bridge. Un atacante encontró la forma de falsificar una firma de guardian válida, convenciendo al contrato de que se había realizado un depósito en el lado de Ethereum cuando no era así. El contrato acto seguido acuñó 120.000 Ether envuelto en Solana, que el atacante retiró inmediatamente. Pérdida total: 320 millones de dólares. [4][11]

El hackeo del bridge Ronin en marzo de 2022 fue diferente en su naturaleza. Ronin es el bridge que soporta Axie Infinity, el juego play-to-earn. Su conjunto de validadores estaba altamente centralizado: la red Ronin requería solo 5 de 9 validadores para autorizar un retiro. Hackers patrocinados por el estado norcoreano (posteriormente atribuidos al Grupo Lazarus) comprometieron cinco claves privadas de validadores a través de una campaña de phishing dirigida contra empleados de Sky Mavis. Con cinco claves, autorizaron retiros de 173.600 Ether y 25,5 millones de USDC. Pérdida total: 625 millones de dólares. [2][6] Fue el mayor hackeo cripto de todos los tiempos en el momento en que ocurrió y no fue descubierto hasta seis días después.

Por qué los bridges son tan difíciles de proteger

Todos los bridges implican alguna suposición de confianza. Los bridges completamente sin confianza son matemáticamente posibles pero computacionalmente costosos, por lo que la mayoría de los bridges realizan concesiones pragmáticas: conjuntos de validadores más pequeños, mayor velocidad de finalización, menores costos de gas. Esas concesiones crean superficie de ataque. [11] En el segundo trimestre de 2026, los ataques a bridges por sí solos representaron aproximadamente 351 millones de dólares del total de pérdidas del trimestre, confirmando que los bridges siguen siendo la mayor categoría de pérdidas por valor en dólares. [10]

Chainalysis documentó en 2022 que los exploits de bridges representaron el 69% de todo el cripto robado ese año, estableciendo un patrón que ha continuado con variaciones desde entonces. [4] El informe 2026 de TRM Labs identificó la infraestructura entre cadenas como la categoría de objetivos de alto valor persistente. [6]

Para los usuarios, la implicación práctica es directa: la exposición a bridges es riesgo. Cada día que tus activos permanecen dentro de un contrato bridge, están expuestos. Minimiza el tiempo en tránsito, prefiere bridges que hayan sido auditados por múltiples firmas independientes y monitorea los anuncios de los equipos de bridge.

3. Bugs en contratos inteligentes: reentrancy, errores lógicos y fallos de control de acceso

Las vulnerabilidades de contratos inteligentes se describen a menudo como "bugs de código", pero la realidad es más matizada. Muchas vulnerabilidades no surgen de errores obvios sino de interacciones sutiles entre contratos, o del entorno de ejecución único de la EVM que no se corresponde limpiamente con los supuestos que los programadores traen del desarrollo de software tradicional.

La reentrancia es la vulnerabilidad de contratos inteligentes más antigua y notoria. Ocurre cuando un contrato realiza una llamada externa antes de actualizar su propio estado interno. Un atacante puede desplegar un contrato malicioso que, cuando es llamado, inmediatamente vuelve a llamar al contrato vulnerable antes de que la primera ejecución haya terminado. El hackeo del DAO de 2016 usó la reentrancia para drenar 60 millones de dólares en Ether y dividió la blockchain de Ethereum. [1] Los ataques de reentrancia no terminaron en 2016: el protocolo Penpie fue drenado de 27 millones de dólares en septiembre de 2024 mediante un fallo de reentrancia en su lógica de distribución de recompensas.

Los errores lógicos son a menudo más difíciles de detectar que la reentrancia porque no involucran antipatrones conocidos. Qubit Finance sufrió una pérdida de 80 millones de dólares en enero de 2022 cuando un atacante descubrió que una función en su contrato bridge aceptaba un depósito de un token obsoleto y luego acreditaba al atacante con una cantidad equivalente de activos envueltos en la cadena de destino, a pesar de no haberse realizado ningún depósito real. [4][11]

Los fallos de control de acceso ocurren cuando las funciones privilegiadas, las que pueden pausar un protocolo, actualizar contratos o drenar un tesoro, no están debidamente protegidas o están protegidas por una clave que ha sido comprometida. La declaración del FBI señaló específicamente el control de acceso como una categoría de vulnerabilidad clave. [1]

Las auditorías ayudan pero no garantizan la seguridad

Todos los protocolos DeFi importantes son auditados antes del lanzamiento. Penpie fue auditado. Qubit Finance fue auditado. Cientos de contratos explotados fueron auditados. Las auditorías reducen el riesgo significativamente pero no pueden eliminarlo, porque las auditorías son revisiones puntuales de código que interactuará con un ecosistema en constante cambio. [11] Un protocolo que supera una auditoría en enero puede volverse vulnerable en junio cuando otro protocolo con el que interactúa es actualizado. La única opción de riesgo cero es no depositar fondos. Cualquier otra posición implica una concesión de riesgo calculada.

Al evaluar un protocolo DeFi, busca: cuántas firmas independientes lo auditaron, si los informes de auditoría están disponibles públicamente, si el protocolo tiene un programa activo de recompensas por bugs y cuánto tiempo lleva activo con TVL significativo sin incidentes.

4. Manipulación de oráculos y ataques de préstamos flash

Los contratos inteligentes no pueden acceder a datos externos por sí mismos. Un protocolo de préstamos que necesita conocer el precio actual del Ether para decidir si liquidar una posición debe depender de un feed de precios externo, un "oráculo". La seguridad de todo el protocolo depende de la integridad de ese oráculo. Manipula el feed de precios y podrás manipular el protocolo.

El ataque de manipulación de oráculos más común implica la manipulación del precio al contado en un creador de mercado automatizado (AMM). Si un protocolo de préstamos usa el precio al contado de un par de trading de baja liquidez en un DEX como su oráculo de precios, un atacante puede distorsionar temporalmente ese precio comprando o vendiendo una gran cantidad de tokens en el pool. El protocolo ve brevemente un precio distorsionado, que el atacante explota para pedir prestado mucho más de lo que debería poder, drenar colateral o liquidar posiciones a valuaciones manipuladas.

Los préstamos flash hacen la manipulación de oráculos enormemente más poderosa. Un préstamo flash permite a un atacante pedir prestadas decenas o cientos de millones de dólares en una sola transacción sin garantía, usar ese capital para manipular un mercado o explotar una vulnerabilidad de contrato, y devolver el préstamo dentro de la misma transacción atómica. Si el exploit falla, toda la transacción se revierte y el atacante solo pierde el costo del gas. [12][13]

Mango Markets fue drenado de 110 millones de dólares en octubre de 2022 mediante un sofisticado ataque de manipulación de precios. [5] Euler Finance fue drenado de 197 millones de dólares en marzo de 2023 en lo que Chainalysis describió como uno de los ataques de préstamo flash técnicamente más sofisticados jamás analizados. [13]

Los ataques de oráculos en cifras

TRM Labs documentó que los ataques de manipulación de oráculos causaron 52 millones de dólares en pérdidas en 37 incidentes separados solo en 2024. [6] Chainalysis rastreaó la manipulación de oráculos como una categoría de amenaza en aumento. [5]

La defensa contra la manipulación de oráculos al contado es usar oráculos de precio promedio ponderado en el tiempo (TWAP), que suavizan los movimientos de precios a corto plazo. Pero los oráculos TWAP introducen latencia y pueden ser manipulados en horizontes de tiempo más largos en pares de baja liquidez. Ningún diseño de oráculo elimina el riesgo por completo.

5. Compromiso de claves privadas y de administrador

La palabra "descentralizado" en DeFi describe la estructura de la propia blockchain, no necesariamente la gobernanza o la infraestructura de los protocolos que funcionan sobre ella. Muchos protocolos DeFi tienen claves de actualización, claves de pausa o claves de tesoro en manos de un pequeño número de personas o incluso de una sola billetera. Cuando esas claves se ven comprometidas, el atacante obtiene el control efectivo del protocolo independientemente de qué tan bien escrito esté el código del contrato inteligente.

Chainalysis reportó que el compromiso de claves privadas fue responsable del 43,8% de todas las criptomonedas robadas por valor en 2024. [2] El informe 2026 de TRM Labs elevó esa cifra aún más, documentando que los ataques a infraestructura representaron el 76% de todo el valor cripto robado en 2025. [6]

El hackeo del bridge Ronin es el caso canónico de compromiso de claves de validador a escala. Cinco de las nueve claves privadas de validadores fueron robadas mediante ataques de spear-phishing dirigidos a empleados de Sky Mavis. Los atacantes (el Grupo Lazarus de Corea del Norte) operaron con paciencia, pasando meses estableciendo relaciones de falsas ofertas de empleo con empleados antes de entregar documentos cargados de malware. [3][6]

El hackeo de Bybit en febrero de 2025 fue aún mayor: aproximadamente 1.500 millones de dólares en Ether y tokens de liquid staking fueron robados de la infraestructura de firma de la billetera fría de Bybit. Chainalysis atribuyó el ataque a actores estatales norcoreanos. [3] El ataque involucró comprometer la interfaz de multisig Safe que el equipo de operaciones de Bybit usaba para firmar transacciones, inyectando una transacción maliciosa que parecía legítima pero redirigía fondos a direcciones controladas por el atacante.

Corea del Norte como actor de amenaza sistémico

El informe 2026 de Chainalysis señaló que los grupos vinculados a Corea del Norte robaron un estimado de 1.340 millones de dólares en 2024 en 47 incidentes, y continuaron siendo el actor de amenaza más prolífico y sofisticado que ataca la infraestructura cripto en 2025. [3]

El informe de lavado de dinero cripto 2024 de Chainalysis también documentó cómo los fondos norcoreanos fluyen a través de múltiples capas de ofuscación antes de llegar finalmente a exchanges donde pueden convertirse en dinero. [16]

Para los usuarios de protocolos DeFi, el riesgo de claves privadas es parcialmente invisible. Lo que puedes hacer es investigar la gobernanza del protocolo: busca timelocks en las actualizaciones, requisitos de multisig con un umbral mínimo amplio y un historial de revelaciones transparentes sobre la gestión de claves.

6. Ataques al front-end y secuestro de dominio

Los contratos inteligentes de un protocolo DeFi pueden ser perfectamente seguros on-chain, y sin embargo los usuarios pueden seguir perdiendo fondos mediante un ataque que nunca toca el código del contrato. Los ataques al front-end apuntan al sitio web o la interfaz de usuario con la que interactúan los usuarios para construir y firmar transacciones.

BadgerDAO sufrió un compromiso del front-end de 120 millones de dólares en noviembre de 2021. Un atacante obtuvo una clave API de Cloudflare, que BadgerDAO usaba para gestionar su sitio web, e inyectó un script malicioso en el JavaScript del front-end. El script interceptaba las transacciones de aprobación de tokens y añadía una instrucción extra que solícitaba una aprobación ilimitada para una dirección controlada por el atacante. Los usuarios veían un aviso de aprobación de aspecto normal en sus billeteras, lo aprobaban y sin saberlo le daban al atacante permiso para drenar sus tokens. [1][9]

El secuestro de dominio es un vector relacionado. En 2022, el DNS del front-end de Curve Finance fue secuestrado: el dominio fue apuntado temporalmente a un servidor malicioso que alojaba una interfaz falsa. Los usuarios que visitaban el sitio y aprobaban transacciones estaban enviando fondos a un atacante. [9]

Defensas prácticas contra los ataques al front-end

Usa marcadores del navegador para los protocolos que utilizas regularmente: nunca depéndes de los resultados de los motores de búsqueda. Antes de firmar cualquier aprobación, verifica que la dirección del contrato coincida con la dirección oficial del protocolo. Usa una herramienta de simulación de transacciones como Tenderly, Fire o el simulador integrado de Rabby Wallet para previsualizar exactamente lo que hará una transacción antes de confirmarla. Las billeteras hardware muestran los datos completos de la transacción: léelos siempre. Revoca regularmente las aprobaciones que ya no necesites en revoke.cash. [1]

La declaración del FBI señaló específicamente los ataques al front-end como un vector que elude por completo la seguridad de los contratos inteligentes. [1]

7. Cómo reducir tu exposición antes de que ocurra un exploit

El riesgo DeFi no puede eliminarse, pero sí puede gestionarse activamente. Las siguientes prácticas reducen materialmente tu superficie de ataque en los principales vectores de exploit.

Investiga el historial de auditorías antes de depositar. Antes de usar un nuevo protocolo, busca sus informes de auditoría. Los auditores de credibilidad reconocida incluyen Certik, Halborn, OpenZeppelin, Trail of Bits, Peckshield y Consensys Diligence. Un protocolo sin ninguna auditoría es una elección de alto riesgo. [12]

Nunca otorgues aprobaciones ilimitadas de tokens. Cuando un protocolo DeFi te pide que apruebes el gasto de tus tokens, generalmente puedes establecer la cantidad exacta que quieres transaccionar en lugar de aprobar una cantidad ilimitada. Usa esta opción. Después de cada transacción, revoca la aprobación en revoke.cash o mediante la herramienta de aprobación de tokens de Etherscan. La declaración del FBI recomendó explícitamente limitar las aprobaciones como una defensa clave a nivel de usuario. [1]

Usa una billetera hardware para tenencias significativas. Las billeteras hot almacenan tu clave privada en software expuesto a tu sistema operativo. Una billetera hardware almacena tu clave privada en firmware aislado y requiere confirmación física para cada transacción. Incluso si tu computadora está completamente comprometida con malware, una billetera hardware mostrará los detalles completos de la transacción en su propia pantalla antes de solicitar tu aprobación física. [8]

Minimiza la exposición a bridges. Antes de hacer bridge de activos, pregunta si realmente es necesario. Cuando debas usar un bridge, utiliza bridges auditados por múltiples firmas, con TVL significativo y trayectoria, y con conjuntos de validadores descentralizados con timelocks. [11]

Desconfía de los rendimientos inusualmente altos. Los ataques de manipulación de oráculos son a menudo más efectivos contra protocolos que ofrecen rendimientos inusualmente altos de pools de liquidez con poco volumen. [5][12]

Investiga la estructura de gobernanza. Comprueba si las claves de administrador de un protocolo están protegidas por un multisig con un número significativo de firmantes, si hay timelocks en las actualizaciones de contratos y si el protocolo ha publicado análisis post-incidente. La guía 2024 del GAFI sobre activos virtuales señaló que la transparencia de gobernanza es un indicador de riesgo clave para las plataformas DeFi. [8]

Considera el seguro DeFi. Protocolos como Nexus Mutual e InsurAce ofrecen cobertura de contratos inteligentes que paga cuando un protocolo cubierto es explotado. La cobertura generalmente no se aplica a ataques al front-end ni al compromiso de claves privadas: lee los términos de la póliza con cuidado. [8]

8. Qué hacer inmediatamente después de que un protocolo DeFi que usabas es explotado

Los exploits de protocolos se mueven rápido. La ventana entre el momento en que un atacante comienza a drenar fondos y el momento en que el equipo del protocolo puede pausar los contratos o emitir una advertencia se mide a menudo en minutos. Si tienes noticias de que un protocolo en el que tienes fondos ha sido explotado, los siguientes pasos te dan la mejor oportunidad de limitar las pérdidas y preservar las pruebas para cualquier intento de recuperación.

Paso 1: Revoca todas las aprobaciones de tokens inmediatamente. Ve a revoke.cash o a la interfaz de aprobación de tokens de Etherscan y revoca cada aprobación activa vinculada a las direcciones de contratos del protocolo afectado. Si aprobaste múltiples contratos de la misma plataforma, revócalos todos. [1]

Paso 2: Mueve los activos restantes a almacenamiento en frío. Transfiere cualquier activo que aún no haya sido drenado a una billetera hardware o a una dirección de billetera completamente separada que nunca haya interactuado con el protocolo explotado. [3]

Paso 3: Documenta todo de inmediato. Reúne y conserva: cada hash de transacción relacionado con tu interacción con el protocolo, las direcciones de contratos con las que interactuaste, tus direcciones de billetera, los montos en dólares al momento de la pérdida y capturas de pantalla del saldo de tu cartera. El Informe de Fraude con Criptomonedas 2023 del FBI enfatiza que la documentación temprana y completa mejora drásticamente las perspectivas de recuperación. [7]

Paso 4: Presenta una denuncia ante las fuerzas del orden. Envía una queja al Centro de Quejas por Delitos en Internet del FBI en ic3.gov con toda la evidencia documentada. Si estás fuera de Estados Unidos, presenta la denuncia ante tu autoridad nacional de ciberdelincuencia. Los estados miembros del GAFI están obligados a disponer de mecanismos de denuncia para el fraude con activos virtuales. [7][8] Los informes a IC3 alimentan investigaciones interinstitucionales y han contribuido a incautaciones de activos en casos importantes.

Paso 5: Notifica a los exchanges centralizados. Si puedes rastrear a dónde fueron los fondos robados on-chain, identifica cualquier exchange centralizado donde las direcciones del atacante hayan depositado fondos. Contacta a los equipos de cumplimiento de esos exchanges con los hashes de transacción que muestran el flujo de los fondos robados. [7]

Paso 6: Contrata análisis forense blockchain si las pérdidas son significativas. Para pérdidas por encima de un umbral donde el compromiso profesional sea rentable (típicamente más de 50.000 dólares), contratar una firma de análisis forense blockchain de manera temprana es importante. Los fondos robados se lavan activamente en cuestiones de horas después de un exploit. Una firma forense puede mapear los flujos de fondos, identificar qué direcciones controla el atacante, marcar esas direcciones en redes de exchanges asociados y compilar el paquete de evidencia necesario para las derivaciones a las fuerzas del orden. [3][16]

Paso 7: Sigue la respuesta oficial del protocolo. Muchos exploits importantes de DeFi han resultado en recuperaciones parciales o totales de fondos mediante negociación white-hat, pagos del fondo de seguro del protocolo o compensación aprobada por gobernanza. Monitorea los canales de comunicación oficiales del protocolo para anuncios sobre procesos de compensación. [7][8]

Expectativas realistas sobre la recuperación

Los exploits a nivel de protocolo son más difíciles de recuperar que las estafas a nivel de usuario. Dicho esto, la recuperación no es imposible. Los datos 2026 de Chainalysis muestran que tanto las incautaciones policiales como las devoluciones voluntarias han aumentado a medida que los investigadores han desarrollado mejores capacidades de rastreo on-chain. [3]

El Informe de Fraude con Criptomonedas 2023 del FBI documentó 5.600 millones de dólares en pérdidas por fraude cripto reportadas a IC3 en 2023, y señaló que las denuncias son fundamentales para permitir una respuesta coordinada de las fuerzas del orden. [7]

Puntos clave

Los ataques a bridges son la mayor fuente de pérdidas DeFi por valor en dólares. Solo en el segundo trimestre de 2026 se robaron 351 millones de dólares mediante exploits de bridges entre cadenas. Minimiza el tiempo en tránsito y usa únicamente bridges auditados y descentralizados.

El compromiso de claves privadas representa el 43,8% de todo el cripto robado por valor (2024, Chainalysis) y el 76% por valor en 2025 (TRM Labs). Investiga la gobernanza y las estructuras de claves de administrador antes de depositar.

Los bugs en contratos inteligentes persisten a pesar de las auditorías. Busca múltiples auditorías independientes, recompensas por bugs y tiempo considerable de operación sin incidentes.

La manipulación de oráculos y los préstamos flash permiten a los atacantes pedir prestados millones sin riesgo para explotar protocolos de baja liquidez.

Los ataques al front-end pueden drenar fondos sin tocar el código del contrato. Usa billeteras hardware, verifica las direcciones de contratos, simula transacciones y revoca aprobaciones tras cada uso.

Si te ves afectado: revoca aprobaciones de inmediato, mueve activos a almacenamiento en frío, documenta todo, presenta denuncia en IC3, notifica a los exchanges y contrata servicios forenses para pérdidas significativas.

Referencias

  1. [1]FBI PSA: Los ciberdelincuentes explotan cada vez más las vulnerabilidades de las plataformas DeFi (2022). ic3.gov/PSA/2022/PSA220829
  2. [2]Chainalysis: 2.200 millones de dólares robados de plataformas cripto en 2024. chainalysis.com/blog/crypto-hacking-stolen-funds-2025/
  3. [3]Chainalysis: Corea del Norte impulsa un año récord de robo cripto de 2.000 millones (2026). chainalysis.com/blog/crypto-hacking-stolen-funds-2026/
  4. [4]Chainalysis: Los hackers roban más criptomonedas de DeFi que nunca (2022). chainalysis.com/blog/2022-defi-hacks/
  5. [5]Chainalysis: Los ataques de manipulación de oráculos están aumentando (2023). chainalysis.com/blog/oracle-manipulation-attacks-rising/
  6. [6]TRM Labs: Informe sobre crímenes cripto 2026. trmlabs.com/reports-and-whitepapers/2026-crypto-crime-report
  7. [7]FBI IC3: Informe de fraude con criptomonedas 2023 (2024). ic3.gov/annualreport/reports/2023_ic3cryptocurrencyreport.pdf
  8. [8]FATF: Actualización específica sobre activos virtuales y VASPs 2024. fatf-gafi.org/en/publications/Fatfrecommendations/targeted-update-virtual-assets-vasps-2024.html
  9. [9]SecurityWeek: El FBI advierte sobre el aumento de ataques a plataformas DeFi (2022). securityweek.com/fbi-warns-surge-attacks-targeting-defi-platforms/
  10. [10]The Defiant: El Q2 2026 es el trimestre más hackeado -- DeFi 70 exploits 746 millones (2026). thedefiant.io/news/hacks/q2-2026-most-hacked-quarter-defi-70-exploits-746m
  11. [11]Certik: Ataques a bridges entre cadenas explicados (2023). certik.com/blog/cross-chain-bridge-attacks-explained
  12. [12]Halborn: Qué son los ataques de manipulación de oráculos de precios en DeFi (2023). halborn.com/blog/post/what-are-price-oracle-manipulation-attacks-in-defi
  13. [13]Chainalysis: Ataque de préstamo flash de Euler Finance (2023). chainalysis.com/blog/euler-finance-flash-loan-attack/
  14. [14]TRM Labs: Informe sobre crímenes cripto 2025. trmlabs.com/reports-and-whitepapers/2025-crypto-crime-report
  15. [15]Cryptobriefing: El Q2 2026 registra 70 hackeos cripto con pérdidas de 746 millones (2026). cryptobriefing.com/q2-2026-sees-record-70-crypto-hacks-totaling-746m-in-losses/
  16. [16]Chainalysis: Lavado de dinero cripto 2024 (2025). chainalysis.com/blog/2024-crypto-money-laundering/

¿Fuiste afectado por un exploit DeFi o robo de criptomonedas?

Recoveris se especializa en análisis forense blockchain y recuperación de activos digitales. Nuestro equipo mapea flujos de fondos on-chain, compila evidencias para las autoridades y coordina con exchanges para congelar los fondos robados.

La intervención temprana es clave: las ventanas de rastreo se cierran rápido a medida que los fondos son lavados.

Solicitar consulta

¿No sabes si tu caso es recuperable?

Realiza nuestra evaluación de 2 minutos para entender tus opciones

Evaluación gratuita Sin compromiso Resultados en 2 minutos
Iniciar evaluación gratuita

Preguntas frecuentes

¿Se pueden recuperar alguna vez los fondos robados en DeFi?

La recuperación es posible pero depende mucho del tipo de exploit, de la rapidez con que se actúe y de si el análisis forense blockchain y las fuerzas del orden pueden rastrear los fondos antes de que sean lavados a través de mezcladores o sacados por exchanges sin KYC. Los grandes exploits de protocolos han tenido recuperaciones parciales a través de negociación white-hat (Euler Finance devolvió aproximadamente 177 millones de dólares), incautaciones policiales (Ronin: 30 millones de dólares incautados por autoridades estadounidenses) y fondos de compensación de protocolos. La denuncia temprana y el compromiso forense son las variables más importantes dentro del control de la víctima.

¿Cuál es la forma más común en que hackean los protocolos DeFi?

El compromiso de claves privadas es ahora el principal vector de ataque por valor, representando el 43,8% de todas las criptomonedas robadas en 2024 (Chainalysis) y el 76% del valor robado en 2025 (TRM Labs). Los ataques a bridges entre cadenas son los más dañinos por tamaño de incidente individual. Los bugs en contratos inteligentes, la manipulación de oráculos y el secuestro del front-end son también vectores significativos y continuos. Ningún tipo de protocolo es inmune.

¿Qué es un ataque de préstamo flash?

Un ataque de préstamo flash toma prestada una gran suma de criptomonedas sin garantía dentro de una sola transacción atómica, usa ese capital para manipular las condiciones del mercado o explotar una vulnerabilidad del protocolo, extrae beneficio y devuelve el préstamo en la misma transacción. Si alguno de los pasos falla, toda la transacción se revierte y el atacante solo pierde el costo del gas. El hackeo de Euler Finance en marzo de 2023, que drenó 197 millones de dólares, es uno de los ejemplos documentados más grandes. Los préstamos flash son una primitiva DeFi legítima; el vector de ataque surge cuando el código del protocolo no tiene en cuenta las condiciones extremas temporales que un préstamo flash puede crear.

¿Cómo sé si un protocolo DeFi que uso ha sido comprometido?

Sigue las cuentas oficiales del protocolo en múltiples canales (Twitter/X, Discord, Telegram). Muchos protocolos pausan los contratos en minutos de detectar un exploit y publican avisos inmediatamente. Las herramientas de monitoreo on-chain como el rastreador de TVL de DeFiLlama (las caídas repentinas de TVL son una señal) y rekt.news publican alertas de exploits rápidamente. Para los protocolos que usas regularmente, considera configurar alertas de saldo de tokens en tus direcciones de billetera a través de herramientas como Webacy o el servicio de notificaciones de Etherscan.

Guías relacionadas

Seguridad

Auditoría de la superficie de ataque de tu cartera cripto: guía paso a paso para proteger tu huella on-chain

Guía de recuperación

Qué hacer si vaciaron tu billetera cripto: pasos inmediatos, control de daños y opciones de recuperación

Guía de recuperación

Cómo denunciar el robo de criptomonedas: FBI, Interpol y guía de presentación por jurisdicción