Cuando los hackers se convierten en equipos estatales y en IA: lista de verificación de seguridad para proyectos cripto en 2026

Chainfeeds Guía de lectura:

Durante la última década, el mundo cripto ha dedicado mucho tiempo a demostrar que no es un esquema Ponzi; en la próxima década, necesitará la misma determinación para demostrar que es lo suficientemente seguro como para soportar capital serio.

Fuente del artículo:

Autor del artículo:

Revelaciones On-chain

Opinión:

Revelaciones On-chain: Este año, los ataques en el sector cripto presentan una nueva simetría: la cantidad de incidentes ha disminuido, pero cada ataque es significativamente más destructivo. El informe de mitad de año 2025 publicado por SlowMist muestra que, en el primer semestre, la industria cripto sufrió 121 incidentes de seguridad, una caída del 45% respecto a los 223 del mismo período del año pasado. Esto debería ser una buena noticia, pero las pérdidas por ataques se dispararon de 1.43 mil millones de dólares a aproximadamente 2.37 mil millones de dólares, un aumento del 66%. Los atacantes ya no pierden tiempo con objetivos de bajo valor, sino que se enfocan en activos de alto valor y puntos de entrada con barreras técnicas elevadas. Las finanzas descentralizadas (DeFi) siguen siendo el principal campo de batalla para los atacantes, representando el 76% de los incidentes. Sin embargo, aunque el número de incidentes fue alto (92), las pérdidas de los protocolos DeFi bajaron de 659 millones de dólares en 2024 a 470 millones de dólares. Esta tendencia indica que la seguridad de los smart contracts está mejorando gradualmente, y la popularización de la verificación formal, los programas de recompensas por bugs y las herramientas de protección en tiempo de ejecución están construyendo una defensa más sólida para DeFi. Pero esto no significa que los protocolos DeFi sean completamente seguros. Los atacantes ahora buscan vulnerabilidades más complejas, en busca de oportunidades que ofrezcan mayores recompensas. Al mismo tiempo, los exchanges centralizados (CEX) se han convertido en la principal fuente de pérdidas. Aunque solo ocurrieron 11 incidentes, las pérdidas alcanzaron los 1.883 mil millones de dólares, y una sola pérdida en un exchange conocido llegó a 1.46 mil millones de dólares, uno de los mayores ataques individuales en la historia cripto (incluso superando los 625 millones de dólares del incidente de Ronin). Estos ataques no dependen de vulnerabilidades on-chain, sino que provienen de secuestro de cuentas, abuso de permisos internos y ataques de ingeniería social. Esta "ineficiencia" también ha polarizado los objetivos de los ataques: campo de batalla DeFi: intensivo en tecnología — los atacantes deben comprender profundamente la lógica de los smart contracts, descubrir vulnerabilidades de reentrada y explotar defectos en los mecanismos de precios de los AMM; campo de batalla CEX: intensivo en permisos — el objetivo no es hackear el código, sino obtener acceso a cuentas, claves API y derechos de firma de billeteras multifirma. Al mismo tiempo, los métodos de ataque también están evolucionando. En el primer semestre de 2025 surgieron nuevos tipos de ataques: phishing aprovechando el mecanismo de autorización EIP-7702, estafas de inversión usando tecnología deepfake para hacerse pasar por ejecutivos de exchanges, y extensiones de navegador maliciosas disfrazadas de herramientas de seguridad Web3. La policía de Hong Kong desmanteló una banda de estafas deepfake que causó pérdidas superiores a 34 millones de dólares hongkoneses: las víctimas creían estar en videollamadas con verdaderos influencers cripto, pero en realidad interactuaban con avatares virtuales generados por IA.