-
Step Finance, Truebit y Resolv concentran casi el 60% de las pérdidas totales del período.
-
Gemini ha dicho Solo dos protocolos lograron recuperaciones parciales por USD 9 millones.
Los exploits a protocolos de finanzas descentralizadas (DeFi) acumularon pérdidas por aproximadamente USD 137,7 millones en lo que va del 2026, según un reporte publicado este 22 de marzo por Cipher Research, una plataforma de análisis e investigación on chain.
La cifra robada proviene de un total de 15 ataques registrados y, de acuerdo con la firma, solo se pudieron recuperar USD 9 millones, menos del 7% del monto sustraído.
Los ataques se distribuyeron en múltiples redes: Ethereum concentra la mayor cantidad de incidentes, pero el reporte también incluye protocolos en Solana, BNB Chain, Base, Arbitrum, Stellar y arquitecturas multi-chain. Esa dispersión indica que la exposición al riesgo no es exclusiva de un ecosistema, sino transversal al sector DeFi.
Los vectores de ataque relevados por Cipher Research son variados: bugs en contratos inteligentes, vulnerabilidades de acuñación, manipulación de oráculos, fallos de lógica de negocio y claves privadas comprometidas, entre otros. En este último caso, cuando el vector es una clave privada filtrada, el fallo no está en el código del protocolo sino en la gestión de accesos, lo que implica un tipo de vulnerabilidad diferente al error de programación (exploit).
Step Finance, de Solana, encabeza el ranking con USD 27,3 millones sustraídos mediante una clave privada comprometida, sin recuperación registrada. Este caso, junto con los hackeos a sitios como Resolv y Truebit concentra cerca del 57% de las pérdidas totales del período indicado por Cipher.
Así ocurrieron algunos exploits en lo que va de 2026
Resolv, una plataforma de stablecoins en Ethereum, acumuló pérdidas superiores a los USD 25 millones en el incidente más reciente del reporte, ocurrido este 22 de marzo.
El ataque a Resolv aprovechó una clave privada con permisos de administración sobre el contrato de acuñación de la stablecoin USR. Con acceso a esa clave, el atacante emitió 80 millones de USR sin respaldo real (el contrato no tenía límite superior de acuñación) y los canjeó por activos reales en exchanges descentralizados. Las pérdidas superan los 25 millones de dólares y USR llegó a perder un 74% de su paridad con el dólar.
Truebit, un protocolo de verificación computacional en Ethereum, perdió USD 26,2 millones, también sin recuperación. El 8 de enero, atacantes explotaron una falla en un contrato inteligente de cinco años de antigüedad en Truebit. Como lo explicó CriptoNoticias, la función que calculaba el precio de compra de su token nativo TRU tenía un error lógico que permitía acuñar miles de millones de tokens a costo casi nulo y canjearlos por ETH real. El protocolo perdió 26 millones de dólares y el token TRU colapsó un 99,9%.
La plataforma Moonwell, por su parte, perdió 1,7 millones de dólares el 15 de febrero tras registrar el precio del activo cbETH en 1,12 dólares cuando su valor real superaba los 2.200 dólares. El error estaba en un contrato cuyo código fue generado con asistencia de inteligencia artificial y pasó todas las revisiones humanas sin ser detectado. Para varios especialistas, es el primer exploit documentado vinculado directamente a código generado por IA.
Los datos de 2025: miles de millones de dólares hackeados
El contexto del reporte de Cipher Research no es aislado. Según un informe de la firma de análisis on chain PeckShield publicado en enero de 2026, el año 2025 cerró con pérdidas totales por robos y estafas con criptoactivos superiores a los 4.040 millones de dólares, un aumento del 34% frente a 2024. El episodio más grave fue el hackeo al exchange Bybit en febrero, con más de 1.500 millones de dólares sustraídos en un solo ataque, el mayor de la historia del sector hasta la fecha.
La cifra registrada por Cipher Research representa hoy cerca del 4% del total de pérdidas registradas en 2026.
Un dato alarmante revelado por la firma de análisis es la tasa de recuperación, la cual representó apenas el 6,5% del total sustraído. Esta cifra evidencia la necesidad de fortalecer los sistemas de seguridad, realizar auditorías de contratos inteligentes más rigurosas y optimizar el rastreo de los fondos robados.
