En abril de 2026, el sector de las finanzas descentralizadas (DeFi) afrontó su crisis de seguridad más grave de los últimos años. Según agencias especializadas en seguridad blockchain, las pérdidas por ataques de hackers durante ese mes superaron los 606 millones de dólares, marcando un nuevo récord mensual. Varios protocolos de gran relevancia fueron víctimas en rápida sucesión, y el grupo de hackers Lazarus Group, vinculado a Corea del Norte, fue señalado por múltiples organismos de investigación como el principal artífice de estos ataques. Esta serie de incidentes no solo puso de manifiesto las vulnerabilidades de la infraestructura DeFi, sino que también llevó a la industria a replantearse los límites de riesgo en las interacciones entre cadenas y la gestión de claves privadas.
¿Cómo se determinan las pérdidas reales de los principales incidentes de seguridad de abril?
Hasta el 27 de abril de 2026, los hackeos públicos a protocolos DeFi habían provocado el robo de más de 606 millones de dólares en activos. Los tres casos más relevantes fueron: KelpDAO, con pérdidas de aproximadamente 292 millones de dólares; Drift Protocol, con unos 285 millones robados; y Purrlend, que perdió cerca de 1,5 millones. Además, protocolos como Scallop reportaron pérdidas que iban desde cientos de miles hasta millones de dólares. Estas cifras se basan en las comunicaciones posteriores de los equipos de los proyectos y en informes de seguimiento de fondos elaborados por plataformas de monitorización on-chain. No incluyen ataques menores no reportados o aún por confirmar. El desglose semanal de las pérdidas de abril muestra que estas aumentaron semana a semana durante las tres primeras semanas, para luego disminuir en la cuarta, cuando algunos proyectos suspendieron servicios o actualizaron contratos.
¿Qué técnicas de ataque entre protocolos emplearon los hackers?
Los análisis técnicos de los incidentes revelados muestran que los atacantes explotaron principalmente vulnerabilidades en la gestión de permisos de los contratos y fallos en la lógica de los puentes cross-chain. En el caso de KelpDAO, el atacante obtuvo el control de la clave privada de una wallet de gestión, burló el mecanismo de verificación multisig y ejecutó directamente la función de retirada del contrato para transferir los activos en staking por lotes. El ataque a Drift Protocol fue aún más complejo: el atacante desplegó un contrato malicioso en otra cadena y utilizó un protocolo de mensajería cross-chain para falsificar pruebas de depósito de activos, lo que le permitió pedir prestados activos en exceso en la cadena objetivo. Estas tácticas demuestran que los atacantes ya no se limitan a explotar vulnerabilidades en los smart contracts de un solo protocolo, sino que ahora apuntan a las asunciones de confianza entre múltiples protocolos.
¿Por qué se considera a Lazarus Group el principal sospechoso?
Varias firmas de seguridad blockchain vincularon múltiples ataques importantes de abril a Lazarus Group mediante el análisis de flujos de fondos on-chain. Este grupo tiene un historial de uso de criptomonedas para blanquear fondos ilícitos, con huellas comportamentales on-chain que incluyen: mover rápidamente los fondos robados a través de puentes cross-chain descentralizados a distintas redes, utilizar mezcladores (como forks de Tornado Cash o alternativas) para lavar fondos por lotes y, finalmente, enviar parte de los activos a direcciones asociadas a rampas fiat específicas. En abril, el movimiento de fondos tras los robos en KelpDAO y Drift reflejó de cerca los patrones observados en operaciones previas de Lazarus Group, como los ataques a Ronin Bridge y Harmony Bridge. Aunque ninguna organización o individuo ha reivindicado públicamente la autoría, las similitudes en el comportamiento hacen que Lazarus Group sea el sospechoso más plausible en este momento.
¿Cómo se trasladan y blanquean los fondos robados entre cadenas?
Tras un ataque exitoso, los atacantes se centran en mover los fondos de forma rápida y encubierta. En los dos incidentes más graves de abril, la mayoría de los activos fueron transferidos en cuestión de horas desde las cadenas originales (como Ethereum y Solana) mediante protocolos de puentes cross-chain hacia diversas redes emergentes de capa 2 o blockchains con mayores características de privacidad. Posteriormente, los fondos se dividieron en cientos de transacciones menores y se canalizaron a múltiples protocolos de mezcla descentralizados. Estos mezcladores emplean pruebas de conocimiento cero o computación multipartita para ocultar el vínculo entre las direcciones de entrada y salida, dificultando que las herramientas estándar de seguimiento on-chain identifiquen a los destinatarios reales. Algunos activos, tras el proceso de mezcla, se convirtieron además en otros tipos de criptoactivos a través de plataformas de activos sintéticos, lo que aumenta la dificultad para congelar y recuperar los fondos.
¿Cómo afectó la serie de ataques al Total Value Locked (TVL) de DeFi?
Las brechas de seguridad a gran escala tienen un impacto directo en la confianza del mercado, reflejado en el valor total bloqueado (TVL) en el ecosistema DeFi. Los datos on-chain muestran que, en las 72 horas posteriores a los ataques, los principales protocolos afectados vieron caer su TVL entre un 35 % y un 60 % de media. Por ejemplo, el TVL de KelpDAO se desplomó de unos 850 millones de dólares antes del ataque a menos de 310 millones. El mercado DeFi en general también experimentó un efecto dominó: los usuarios tendieron a retirar activos de proyectos con interacciones cross-chain complejas y permisos de contrato abiertos, optando en su lugar por protocolos de préstamos más consolidados o soluciones de custodia centralizada. Hasta el 27 de abril, el TVL de DeFi en Ethereum había descendido aproximadamente un 12 % desde el inicio del mes, mientras que algunos protocolos con módulos de aislamiento de riesgos registraron entradas netas moderadas.
¿Puede el fondo de recuperación de Aave establecer un estándar de seguridad para la industria?
Ante el aumento de las pérdidas por seguridad, el principal protocolo de préstamos Aave anunció a mediados de abril la creación de un fondo de recuperación para compensar parcialmente a los usuarios afectados por vulnerabilidades no relacionadas con el código del protocolo (como ataques a dependencias externas o de gobernanza). El fondo está financiado conjuntamente por la tesorería de Aave y socios del ecosistema, y un comité independiente de evaluación de riesgos revisa cada solicitud de compensación. Aunque el fondo aún no cubre todos los incidentes de seguridad de abril, su planteamiento ha generado debate en la industria: si DeFi debería establecer una "reserva de seguridad" similar al seguro de depósitos bancarios. Los defensores sostienen que esto podría aumentar la confianza de los usuarios, mientras que los críticos advierten del posible riesgo moral, donde los proyectos podrían relajar sus propios estándares de seguridad al contar con una compensación externa.
¿Cómo pueden los usuarios identificar y mitigar los riesgos de los protocolos DeFi?
Mientras las mejoras a nivel de protocolo llevan tiempo, los usuarios pueden adoptar las siguientes medidas para reducir su exposición:
- Priorizar protocolos que hayan pasado por varias auditorías de seguridad independientes y cuyo código de contrato sea open source. Fijarse en si las auditoras son firmas de prestigio.
- Ser cauteloso al conceder permisos de tokens y revocar regularmente las aprobaciones de contratos no utilizados mediante exploradores blockchain o herramientas de gestión de permisos.
- Almacenar los principales activos en wallets multisig o hardware wallets, manteniéndolos separados de las hot wallets usadas para transacciones de mayor volumen.
- Monitorizar alertas en tiempo real de plataformas de seguridad y revocar los permisos de contrato correspondientes en cuanto se tenga noticia de un ataque.
- En protocolos nuevos que ofrezcan recompensas elevadas por liquidez, asumir que su seguridad no ha sido completamente verificada y limitar la inversión a una pequeña parte del total de activos.
Conclusión
En abril de 2026, el ecosistema DeFi sufrió pérdidas superiores a 606 millones de dólares debido a una serie de hackeos, con grandes protocolos como KelpDAO y Drift Protocol entre los afectados. El análisis del comportamiento on-chain apunta con fuerza a Lazarus Group como responsable, mostrando técnicas de transferencia cross-chain y mezcla de fondos altamente sofisticadas. Esta crisis de seguridad no solo provocó una fuerte caída del TVL en los proyectos afectados, sino que también llevó a la industria a replantearse la gestión de permisos, los modelos de confianza entre cadenas y los mecanismos de compensación a usuarios. Hasta que se establezcan estándares de seguridad unificados, la forma más eficaz para que los participantes protejan sus fondos sigue siendo la gestión proactiva de permisos, la segregación de tipos de activos y la atención constante a las alertas de seguridad.
Preguntas frecuentes
P: ¿Cómo puedo comprobar rápidamente si un protocolo DeFi ha sufrido incidentes de seguridad importantes?
R: Puedes consultar el historial de seguridad de un protocolo en plataformas de monitorización (como SlowMist MistTrack, PeckShield Alert) o en sitios de análisis on-chain (como el módulo de seguimiento de Rug Pulls de DeFi Llama). Además, sigue los canales oficiales de anuncios del proyecto en Discord o Twitter: la mayoría de los equipos publica un primer comunicado en la hora siguiente al incidente.
P: ¿Es posible recuperar criptoactivos robados por Lazarus Group?
R: La recuperación es extremadamente difícil. Este grupo suele blanquear los fondos a través de múltiples puentes cross-chain y mezcladores, y parte de los activos acaba convirtiéndose en fiat en jurisdicciones con escasa cooperación regulatoria. Históricamente, solo en contadas ocasiones (como cuando las autoridades congelan direcciones antes de que se complete la mezcla) se ha logrado una recuperación parcial.
P: ¿Qué debo hacer si un protocolo que uso fue hackeado en abril?
R: Primero, revoca inmediatamente todos los permisos de contrato relacionados con el protocolo. Segundo, guarda los hashes de tus transacciones on-chain, los registros de aprobaciones y capturas de saldo de tus interacciones con el protocolo. Tercero, sigue las propuestas oficiales de compensación o gobernanza del proyecto: la mayoría utiliza snapshots para confirmar los usuarios afectados e iniciar votaciones posteriores. No pagues a ningún tercero que afirme poder recuperar tus fondos en tu nombre.
