Básico
Spot
Opera con criptomonedas libremente
Margen
Multiplica tus beneficios con el apalancamiento
Convertir e Inversión automática
0 Fees
Opera cualquier volumen sin tarifas ni deslizamiento
ETF
Obtén exposición a posiciones apalancadas de forma sencilla
Trading premercado
Opera nuevos tokens antes de su listado
Contrato
Accede a cientos de contratos perpetuos
CFD
Oro
Plataforma global de activos tradicionales
Opciones
Hot
Opera con opciones estándar al estilo europeo
Cuenta unificada
Maximiza la eficacia de tu capital
Trading de prueba
Introducción al trading de futuros
Prepárate para operar con futuros
Eventos de futuros
Únete a eventos para ganar recompensas
Trading de prueba
Usa fondos virtuales para probar el trading sin asumir riesgos
CFD
Derivados de Contratos por Diferencia sobre Acciones
Acciones EE. UU.
Accede a acciones y ETF estadounidenses reales
Acciones HK
Opera con acciones de calidad cotizadas en Hong Kong
Acciones surcoreanas
SK Hynix
Opera con acciones surcoreanas reales e invierte en activos populares
Futuros de acciones
Alto apalancamiento, trading 24/7
Acciones tokenizadas
Respaldado por acciones reales
IPO Access
Accede al acceso completo a las OPV de acciones globales
GUSD
3.8%
Acuña GUSD para obtener rendimientos de RWA del Tesoro
Actividades de acciones
Opera con acciones populares y desbloquea grandes airdrops
Lanzamiento
CandyDrop
Acumula golosinas para ganar airdrops
Launchpool
Staking rápido, ¡gana nuevos tokens con potencial!
HODLer Airdrop
Holdea GT y consigue airdrops enormes gratis
Pre-IPOs
Accede al acceso completo a las OPV de acciones globales
Puntos Alpha
Opera activos on-chain y recibe airdrops
Puntos de futuros
Gana puntos de futuros y reclama recompensas de airdrop
Inversión
Simple Earn
Genera intereses con los tokens inactivos
Inversión automática
Invierte automáticamente de forma regular
Inversión dual
Aprovecha la volatilidad del mercado
Staking flexible
Gana recompensas con el staking flexible
Préstamo de criptomonedas
0 Fees
Usa tu cripto como garantía y pide otra en préstamo
Centro de préstamos
Centro de préstamos integral
Centro de patrimonio VIP
Planes de aumento patrimonial prémium
Gate Wealth
Toma el control del futuro financiero
Quant Fund
Estrategias cuantitativas de alto nivel
Staking
Haz staking de criptomonedas para ganar en productos PoS
Apalancamiento inteligente
Apalancamiento sin liquidación
GUSD
3.8%
Deposita y canjea cuando quieras, sin comisiones
Promociones
Centro de actividades
Únete a actividades y gana recompensas
Referido
200 USDT
Invita amigos y gana por tus referidos
Programa de afiliados
Gana recompensas de comisión exclusivas
Gate Booster
Aumenta tu influencia y gana airdrops
Anuncio
Novedades de plataforma en tiempo real
Gate Blog
Artículos del sector de las criptomonedas
Servicios VIP
Grandes descuentos en tarifas
Gestión de activos
Solución integral para la gestión de activos
Institucional
Soluciones de activos digitales: empresas
Desarrolladores (API)
Conecta con el ecosistema de aplicaciones Gate
Transferencia bancaria OTC
Deposita y retira fiat
Programa de bróker
Reembolsos generosos mediante API
AI
Gate AI
Tu compañero de IA conversacional para todo
Gate AI Bot
Usa Gate AI directamente en tu aplicación social
GateClaw
Gate Blue Lobster, listo para usar
Gate for AI Agent
Infraestructura de IA, Gate MCP, Skills y CLI
Gate Skills Hub
+10 000 habilidades
De la oficina al trading, una biblioteca de habilidades todo en uno para sacar el máximo partido a la IA
Mayores hackeos y estafas de criptomonedas de 2026 hasta ahora
Las pérdidas de seguridad cripto alcanzaron 1,316 mil millones de dólares en 344 incidentes durante la primera mitad de 2026, según el informe de seguridad H1 de CertiK. Aproximadamente 115,3 millones de dólares fueron congelados o devueltos, lo que redujo la pérdida ajustada a alrededor de 1,2 mil millones de dólares. La aparente mejora respecto a 2025 necesita contexto. El total de la primera mitad del año anterior incluía el excepcional hack de Bybit por 1,45 mil millones de dólares. Una vez excluido ese único evento, CertiK estima que las pérdidas comparables aumentaron aproximadamente un 28% en 2026. La distribución de esas pérdidas es tan importante como el total. El costo promedio del incidente fue de aproximadamente 3,82 millones de dólares, mientras que la pérdida mediana fue solo de 138.703 dólares. Por lo tanto, el promedio fue más de 27 veces la mediana, lo que muestra que un pequeño número de fallos extremos impulsó el resultado general. Solo tres incidentes, Kelp DAO, Drift Protocol y un robo por phishing dirigido de 284 millones de dólares, representaron aproximadamente el 65% de todas las pérdidas reportadas en la primera mitad. Un ranking de pérdidas necesita más de un número Los reportes de incidentes cripto a menudo comparan cifras que miden diferentes formas de daño.
Pérdida bruta
El valor eliminado de un protocolo o de la víctima antes de las recuperaciones.
Extracción realizada
Activos que el atacante convirtió con éxito en valor económico transferible.
Pérdida neta
La cantidad que aún falta después de congelamientos, devoluciones, reembolsos y recuperaciones.
Responsabilidades de los usuarios
Reclamaciones adeudadas por una plataforma, que pueden ser mayores o menores que los ingresos originales del atacante.
Exposición nominal
El valor teórico de activos emitidos fraudulentamente o puestos en riesgo, incluso cuando el atacante no pudo monetizar la totalidad.
El ranking de abajo usa principalmente las pérdidas brutas reportadas. Las recuperaciones, las valoraciones en disputa y las diferencias entre los ingresos del atacante y las responsabilidades de la plataforma se indican por separado. Para incidentes que involucran creación de tokens sin respaldo, la extracción realizada es más significativa que el valor nominal del suministro fraudulento. De lo contrario, un atacante que crea 100 millones de dólares de un token ilíquido pero extrae 1 millón de dólares de un colateral real podría clasificarse incorrectamente como si hubiera robado los 100 millones completos. Las mayores pérdidas cripto reportadas de 2026
Declaración sobre el Incidente de Seguridad Reciente
En las primeras horas de la tarde del 31 de enero (APAC), aproximadamente $40M fue drenado de la tesorería de Step Finance. Esto fue resultado de que los dispositivos de nuestro equipo ejecutivo fueron comprometidos.
Inmediatamente después de detectar la brecha, comenzamos a trabajar…
— Step☀️ (@StepFinance_) 2 de febrero de 2026
Estimaciones onchain anteriores situaban la pérdida más cerca de 27 millones de dólares porque se centraban en los aproximadamente 261.854 SOL identificados inicialmente que salían de las wallets de la tesorería. La cifra posterior de Step incluyó un grupo más amplio de activos afectados. Usar la estimación bruta de 40 millones de dólares del proyecto mientras se reporta por separado la cantidad recuperada produce una imagen más completa que escoger una sola cifra sin explicar por qué las estimaciones difieren. Las consecuencias financieras de un ataque también pueden extenderse más allá de la cantidad transferida al atacante. La financiación de emergencia, los gastos legales, la compensación a usuarios, las operaciones interrumpidas y los ingresos perdidos pueden hacer que el impacto final del negocio sea mayor que el retiro onchain inicial. 5. Humanity Protocol – 36 Millones Humanity Protocol sufrió un ataque el 9 de junio después de que un dispositivo comprometido expuso datos de wallet y llaves privadas asociadas con cuentas privilegiadas del proyecto. En su explicación oficial, Humanity dijo que el atacante copió las llaves privadas desde el dispositivo y las usó para ejecutar el ataque onchain. El proyecto también dijo que el contrato del token H de Ethereum estaba protegido por un multisig limpio separado y que su puente canónico en mainnet no fue comprometido.
https://t.co/VjouykTSPw
— Humanity (@Humanityprot) 12 de junio de 2026
Las estimaciones publicadas varían entre aproximadamente 31 millones y 36 millones, en parte porque los tokens H robados se valoraron a precios de mercado distintos y en etapas diferentes del incidente. El problema estructural más importante fue la concentración de múltiples credenciales privilegiadas en un solo endpoint comprometido. Un arreglo de multisignature solo brinda protección significativa cuando sus llaves se separan entre personas, dispositivos, ubicaciones y entornos administrativos. Varias credenciales almacenadas en o recuperables desde la misma computadora pueden cumplir un umbral de firma onchain mientras aún funcionan como un único punto práctico de falla. 6. Resolv Protocol – Aproximadamente 26,8 Millones Resolv Protocol fue explotado el 22 de marzo después de que un atacante comprometiera su infraestructura en la nube y obtuviera acceso a una clave controlada a través de AWS Key Management Service. Resolv utilizó un servicio offchain para autorizar la creación de USR después de que los usuarios depositaran colateral. Según el análisis del incidente de CertiK, el atacante hizo depósitos legítimos relativamente pequeños de USDC y luego usó el rol de servicio comprometido para autorizar aproximadamente 80 millones de USR a través de dos transacciones. El contrato verificó que la autorización provenía del servicio aprobado. Impuso una salida mínima, pero no aplicó una cantidad máxima ligada al colateral depositado por el usuario. Una vez comprometido el servicio privilegiado, el atacante pudo producir firmas criptográficamente válidas pero sin respaldo económico. Esto no significa que los servicios de gestión de llaves en la nube sean inherentemente inadecuados para la infraestructura cripto. El problema de diseño más grande fue la cantidad de autoridad económica sin restricciones otorgada a un solo rol de servicio. Una llave protegida aún puede convertirse en un punto catastrófico cuando el contrato que recibe sus firmas no impone de forma independiente ratios de colateral, techos de acuñación, límites de transacción o velocidad de retiro. 7. Truebit – 26 Millones Truebit fue explotado el 8 de enero mediante una vulnerabilidad de integer-overflow en un contrato de bonding-curve desplegado en 2021. El contrato se había compilado con Solidity 0.5.3, antes de que se introdujera la protección automática contra overflow en Solidity 0.8.0. Un atacante proporcionó un valor excepcionalmente grande que hizo que un cálculo aritmético se envolviera hasta un número cercano a cero. Esto permitió acuñar grandes cantidades de TRU por casi no ETH y luego canjearlas por ETH real mantenido por el contrato. Chainalysis estimó la pérdida principal en 26,2 millones de dólares. CertiK situó la cantidad combinada más cerca de 26,6 millones de dólares, incluyendo aproximadamente 224.000 dólares extraídos por un segundo atacante. La implementación vulnerable no había sido verificada públicamente en Etherscan. Eso no impidió que los atacantes la analizaran. El bytecode del contrato puede descompilarse, el comportamiento del compilador antiguo puede identificarse y las vulnerabilidades sospechadas pueden probarse mediante simulaciones o bifurcaciones de blockchain. Truebit es la excepción mayor más clara al patrón más amplio visto en 2026. Su pérdida provino de lógica de ejecución pública en lugar de autoridad operativa comprometida. También muestra por qué los contratos inactivos deben permanecer dentro de los alcances de auditoría, monitoreo y programas de bug-bounty mientras conserven fondos o permisos. Por qué Echo Protocol no se clasifica como un robo de 76,7 Millones Echo Protocol a veces se describe como que sufrió una pérdida de 76,7 millones de dólares porque un atacante usó una llave de administrador comprometida para acuñar 1.000 eBTC sin respaldo que llevaban ese valor nominal. El atacante no extrajo 76,7 millones de dólares en activos reales. Según Merkle Science, 45 de los eBTC fraudulentos se depositaron en el protocolo de préstamos Curvance. El atacante pidió prestado aproximadamente 11,29 WBTC, valoradas en alrededor de 867.000 dólares, antes de que los restantes 955 eBTC sin respaldo fueran quemados. Por lo tanto, las cifras correctas son:
Clasificar todo el monto nominal como robado exageraría el daño realizado en casi 90 veces. Echo aún expone un importante problema de riesgo de colateral. El oráculo de Curvance reconoció correctamente el valor de mercado asignado a eBTC, pero no pudo determinar que esos tokens en particular se crearon sin respaldo. La integridad del precio no es lo mismo que la integridad de la emisión. Los protocolos de préstamos que aceptan colateral emitido externamente necesitan controles para la creación anormal de suministro, cambios en la autoridad de acuñación, depósitos repentinos de colateral, verificación del respaldo y riesgo administrativo a nivel de emisor. Un feed de precio correcto no puede responder esas preguntas por sí solo. La falla común fue el plano de control Los incidentes más grandes de 2026 no compartieron una sola vulnerabilidad de código. Compartieron debilidades en los sistemas responsables de decidir qué se le permitía hacer al código. En terminología tradicional de infraestructura, la capa de ejecución procesa la actividad ordinaria, mientras que el plano de control determina permisos, configuraciones, fuentes de datos confiables y acciones excepcionales.
Esa distinción se refleja de cerca en los incidentes más grandes:
Kelp: Un verificador aceptó una versión fabricada de la actividad de la cadena de origen.
Drift: Firmas válidas transfirieron el control administrativo.
Step: Dispositivos ejecutivos comprometidos expusieron la autoridad de tesorería.
Humanity: Un endpoint comprometido expuso llaves privilegiadas.
Resolv: Un rol de servicio comprometido creó autorizaciones válidas pero sin respaldo económico.
Echo: Una única llave de administrador podía otorgar autoridad de acuñación sin límites.
Truebit: La excepción fue un fallo aritmético en código heredado de contratos.
CertiK registró 204 incidentes de vulnerabilidad de código durante la primera mitad del año, lo que produjo aproximadamente 151,6 millones de dólares en pérdidas. Las brechas de wallets causaron 444,5 millones de dólares en tan solo 33 incidentes. Eso se traduce en un promedio de aproximadamente 743.000 dólares por incidente de vulnerabilidad de código y 13,5 millones de dólares por incidente de brecha de wallet. En promedio, una brecha de wallet fue aproximadamente 18 veces más costosa. La comparación no hace menos importantes las auditorías de contratos inteligentes. Muestra que auditar el contrato excluyendo a sus firmantes, dependencias de RPC, interfaces administrativas, roles en la nube y controles de emergencia deja una parte sustancial del sistema financiero sin probar. Cinco controles que abordan los fallos reales Imponer límites económicos después de la autenticación Una firma válida debería demostrar quién aprobó una acción. No debería otorgar autoridad económica ilimitada. La acuñación, los puentes, la aprobación de colateral y los retiros aún pueden restringirse mediante tamaños máximos de transacción, límites móviles, ratios de colateral, demoras de tiempo, topes por activo y pausas automáticas. Estos controles pueden no prevenir una compensación de credenciales, pero pueden evitar que una única llave comprometida cree inmediatamente una responsabilidad ilimitada. Medir la independencia, no el número de llaves Un multisig 3-de-5 no está distribuido de manera significativa cuando tres llaves pueden recuperarse desde una sola laptop o controlarse a través de la misma cuenta corporativa. La guía de NIST sobre gestión de llaves enfatiza controles del ciclo de vida, incluida autorización, respaldo, responsabilidad, separación de funciones, respuesta ante compromisos y protección del material de las llaves. Los protocolos deben identificar si supuestos firmantes independientes comparten dispositivos, gestores de contraseñas, tenants en la nube, procedimientos de recuperación, ubicaciones físicas o líneas de reporte. Monitorear relaciones, no solo transacciones Cada transacción individual en el exploit de Kelp parecía válida. El fallo detectable fue la relación faltante entre las dos cadenas: rsETH se liberó en Ethereum sin ser quemado en la cadena de origen. El monitoreo de puentes debería reconciliar de forma continua los bloqueos, quemas, acuñaciones y liberaciones en cada red relevante. Comprobaciones similares de invariantes pueden comparar el colateral depositado contra los tokens acuñados, las reservas contra el suministro circulante y los límites de retiro aprobados contra los flujos reales. Simular intención administrativa antes de firmar Las hardware wallets protegen llaves privadas, pero no pueden determinar si un usuario legítimo está aprobando una transacción maliciosa. Las transacciones administrativas deben decodificarse y simularse en un entorno separado antes de su ejecución. Los firmantes necesitan ver los cambios de permisos resultantes, los activos de colateral recién aprobados, los parámetros de precios, los límites de retiro, las actualizaciones de contratos y las transferencias de propiedad, no solo un hash de transacción o un prompt opaco de la wallet. Mantener los contratos heredados dentro del perímetro de seguridad Un contrato no se vuelve más seguro porque haya operado sin incidentes durante varios años. Cualquier despliegue que mantenga activos, procese redenciones, controle permisos del protocolo o permanezca conectado a productos actuales debe tener código fuente verificado, supuestos del compilador documentados, monitoreo activo e inclusión en programas de auditoría y bug-bounty. La IA está amplificando modelos de fraude existentes La IA no creó las vulnerabilidades centrales detrás de Kelp, Drift, Resolv o Echo. Su efecto inmediato más directo es reducir el costo de la investigación de objetivos, la suplantación, la localización y la comunicación sostenida. El Informe de Crimen Cripto 2026 de Chainalysis, que analiza la actividad de 2025, encontró que las operaciones de estafa con enlaces identificables a proveedores de servicios de IA eran aproximadamente 4,5 veces más rentables que las estafas sin esos enlaces. Esa evidencia no debería presentarse como prueba de que cada ataque sofisticado en 2026 usó IA. Muestra que las operaciones asistidas por IA ya estaban produciendo mayores retornos y podían hacer más fácil escalar varias técnicas establecidas:
Identidad sintética
Suplantación con video y voz deepfake.
Reconocimiento avanzado
Investigación de objetivos en redes sociales y profesionales.
Ingeniería social multilingüe
Conversaciones de larga duración en múltiples idiomas.
Phishing adaptativo
Interfaces clonadas y páginas de phishing personalizadas.
Investigación automatizada de vulnerabilidades
Análisis automatizado de contratos y bytecode descompilado.
El desarrollo probable es una combinación de métodos sociales y técnicos. La ingeniería social obtiene la credencial o autorización; los permisos del protocolo existentes convierten ese acceso en una pérdida financiera. Cambios regulatorios: rendición de cuentas, no mecánicas de exploit El periodo transicional de MiCA de la Unión Europea terminó el 1 de julio de 2026. Los proveedores de servicios de criptoactivos cubiertos generalmente ahora requieren autorización para seguir operando en la UE, sujeto al alcance de la regulación y a las decisiones de supervisión nacionales. MiCA puede fortalecer la gobernanza, la custodia, los controles operativos y la rendición de cuentas. No puede determinar si un puente usa verificadores independientes, si las llaves privilegiadas están correctamente separadas o si un firmante autorizado entiende una transacción maliciosa. La ley US GENIUS Act se firmó el 18 de julio de 2025 y establece un marco federal para stablecoins de pagos. No es un régimen general de ciberseguridad para cada puente, exchange, wallet o protocolo DeFi. La regulación determina quién es responsable y qué salvaguardas deberían existir. La ingeniería de seguridad determina si un mensaje forjado, una llave comprometida o una aprobación maliciosa pueden ejecutarse antes de que esas salvaguardas respondan. Qué vigilar durante el resto de 2026 La imagen final de seguridad de 2026 debería juzgarse con más que la pérdida acumulada de titulares.
Inteligencia de seguridad: indicadores clave
Concentración de pérdidas
Si algunos incidentes extremos siguen dominando el total anual.
Superficie de ataque
Si las brechas de wallets, administrativas, en la nube y de infraestructura siguen siendo más costosas que los exploits de código.
Daño ajustado por recuperaciones
Cuánto falta después de congelamientos, reembolsos y devoluciones negociadas.
Calidad de la atribución
Si los vínculos preliminares con grupos patrocinados por el Estado se respaldan con investigaciones completadas.
Adopción de controles
Si los protocolos introducen verificación independiente, simulación de transacciones, separación de llaves y límites económicos exigibles antes del próximo gran ataque.
Este ranking es una instantánea preparada el 17 de julio, no un registro final del año. Casi el 46% de 2026 sigue por ocurrir, y las cifras históricas de pérdidas podrían seguir cambiando debido a recuperaciones de activos, revisiones del precio de los tokens, wallets recién identificadas y distinciones más claras entre exposición nominal y robo realizado. La evidencia respalda una conclusión más acotada: los incidentes de mayor valor están apuntando cada vez más a los sistemas de control que rodean a los contratos inteligentes, firmantes, dispositivos, infraestructura RPC, servicios privilegiados y redes de verificación, en lugar de solo a la lógica de los contratos.
Este artículo es solo con fines educativos. Las valoraciones de incidentes pueden cambiar debido a movimientos en el precio de los activos, recuperaciones, atribución revisada y diferencias entre exposición bruta, extracción realizada y pérdidas netas.