Abril de 2026: el mes más hackeado de la historia de las criptomonedas con pérdidas de 635 millones de dólares

Abril de 2026 finalizó como el mes con más hackeos en la historia de las finanzas descentralizadas. DefiLlama confirmó entre 28 y 30 vulneraciones individuales, con pérdidas totales que superaron los $625 millones —una cifra que otros rastreadores sitúan en $635,24 millones—, el total mensual más alto desde la brecha del exchange Bybit en febrero de 2025. El mes promedió cerca de un ataque por día, un ritmo que superó con creces cualquier periodo registrado anteriormente.

Dos ataques, un mes, escala catastrófica

El daño del mes fue impulsado principalmente por dos incidentes de gran magnitud. El 1 de abril, Drift Protocol en Solana perdió aproximadamente $285 millones en un ataque de ingeniería social vinculado, según informes, al grupo Lazarus de Corea del Norte. Alrededor del 18 de abril, KelpDAO sufrió una vulneración de suplantación de mensajes (message-spoofing) dirigida a un puente cross-chain de LayerZero, con pérdidas estimadas cercanas a los $293 millones. Juntos, estos dos eventos representaron la gran mayoría de las pérdidas totales de abril.

El hackeo de Drift Protocol involucró tres semanas de preparación previa al ataque y meses de ingeniería social para comprometer a los firmantes del protocolo, ejecutando el drenaje total en aproximadamente 12 minutos. El hackeo de KelpDAO explotó un fallo de diseño de verificador único en un puente de LayerZero; los fondos fueron posteriormente lavados a través de THORChain después de que se congelaran $75 millones en Arbitrum.

Incidentes menores en todo el ecosistema

Más allá de las dos vulneraciones principales, los ataques restantes reforzaron cuán amplia se ha vuelto la superficie de ataque en DeFi:

• Rhea Finance perdió $18,4 millones, Grinex $15 millones, Wasabi Protocol aproximadamente $5 millones, y Volo Vault y Sweat Foundation $3,5 millones cada uno.
• La mayoría de los incidentes menores oscilaron entre $50.000 y $3–5 millones, afectando a protocolos de préstamo, exchanges descentralizados y soluciones de infraestructura.
• A pesar de que los errores de código fueron la causa raíz de la mayoría de los hackeos, estos representaron solo alrededor de $42 millones —aproximadamente el 6,6%— de las pérdidas totales de abril.

El papel desmedido de Corea del Norte

Los hackers norcoreanos, operando a través de dos grupos distintos, robaron aproximadamente $577 millones en lo que va de 2026; esto representa el 76% de todas las pérdidas por hackeos cripto hasta abril, a través de solo un puñado de incidentes atribuidos. Tanto el ataque de Drift como el de KelpDAO han sido vinculados al grupo TraderTraitor, un subgrupo de Lazarus Group. Las brechas no fueron causadas por errores de código o ciberintrusiones agresivas, sino que resultaron de operaciones de meses que combinaron ingeniería social con acceso, por lo demás legítimo, a los protocolos.

Reacción del mercado DeFi

La vulneración de KelpDAO provocó retiros rápidos en todas las finanzas descentralizadas, con más de $14.000 millones en valor total bloqueado (TVL) saliendo de los protocolos DeFi en cuestión de días, concentrándose en puentes y plataformas de préstamo a medida que los usuarios reducían su exposición al riesgo cross-chain. Solo Aave cayó de $26,4 mil millones a cerca de $17,9 mil millones en TVL tras el exploit.

Contexto y perspectivas

A modo de comparación, todo el primer trimestre de 2026 registró $165,5 millones en pérdidas; el total de abril llegó en un solo mes, siendo 3,7 veces mayor que todo el Q1 combinado. Las pérdidas acumuladas por hackeos en DeFi han superado ya los $17.000 millones en la última década, con los atacantes pivotando cada vez más de los errores en contratos inteligentes hacia las llaves privadas, la infraestructura de firmas y la ingeniería social en la capa humana. Los investigadores de seguridad han señalado la arquitectura de los puentes cross-chain y la ingeniería social como los vectores dominantes que requieren atención urgente de cara al segundo trimestre de 2026.

Publicado por Coinplurk.com