El segundo trimestre de 2026 se convierte en el trimestre más hackeado de las criptos con más de 80 exploits

El segundo trimestre de 2026 pasará a la historia como el peor trimestre registrado en cuanto a brechas de seguridad de criptomonedas, superando cualquier período de tres meses anterior, según datos de DeFiLlama. Al 22 de junio, se han registrado alrededor de 83 incidentes, el doble del récord anterior en frecuencia de ataques.

Sin embargo, la cantidad perdida sigue por debajo de las peores pérdidas de la industria. El valor total hackeado se estima en aproximadamente $775 millones para el Q2; aunque es elevado, sigue siendo una fracción de algunos de los máximos que se produjeron en ciertos trimestres de años anteriores.

La plataforma de inteligencia del mercado de criptomonedas Unfolded describió el tipo de exploits que alimentaron constantemente las malas noticias durante el trimestre, escribiendo en X: "En lugar de unos pocos mega exploits, ha sido una corriente constante de ataques más pequeños." 

El cuarto trimestre de 2020 sigue ostentando el récord de pérdidas en dólares con $3.560 millones.

¿Qué exploits fueron responsables del mayor daño ocurrido en el Q2? 

La brecha de $293 millones de KelpDAO y el exploit de $280 millones de Drift Protocol juntos representaron más de tres cuartas partes del total de fondos robados en el Q2. 

Ambos incidentes ocurrieron en abril, que CertiK confirmó como un mes récord con alrededor de $651 millones en pérdidas totales de la industria en entre 28 y 30 ataques separados.

Las vulnerabilidades de los puentes entre cadenas fueron responsables de los ataques más costosos. Los exploits relacionados con puentes representaron aproximadamente $351 millones en pérdidas del Q2. 

La falla del puente OFT de LayerZero detrás del incidente de KelpDAO por sí sola representó más del 38% de todos los fondos robados durante el trimestre.

Las credenciales de administrador comprometidas y la manipulación falsa del precio de tokens representaron otro 37% de las pérdidas. El robo de claves privadas representó aproximadamente el 5,7%.

¿Cuál fue la frecuencia de ataques a proyectos de criptomonedas mes a mes?

Los informes mensuales de CertiK muestran que ocurrieron 58 incidentes en abril, 60 en mayo y 25 en junio hasta ahora, con más de una semana restante, según el rastreador de DefiLlama. 

Las pérdidas en dólares de mayo fueron mucho menores, con $68,3 millones en esos 60 incidentes, según CertiK, reforzando el patrón de brechas frecuentes pero de menor envergadura.

Junio ya ha producido varios exploits notables, uno de los cuales es la brecha de Humanity Protocol, que perdió $32 millones por un compromiso de clave privada el 8 de junio. Los Smart Contracts abandonados de Aztec Connect fueron explotados dos veces en el lapso de una semana, siendo el primer incidente una brecha de $2,19 millones el 14 de junio, seguida de un drenaje separado de $2 millones el 17 de junio, según documentó Cryptopolitan. 

Taiko confirmó el 22 de junio que los atacantes explotaron su mecanismo de verificación de puente por $1,7 millones, con PeckShield estimando la pérdida, y Lookonchain rastreando 1,99 millones de tokens TAIKO movidos a MEXC.

El exchange descentralizado Raydium perdió $1,34 millones en un ataque de acuñación falsa de LP el 10 de junio.

Los contratos obsoletos son ahora un objetivo creciente para los hackers

Los Smart Contracts que los equipos de desarrollo abandonaron anteriormente están volviendo a ser noticia, pero no por buenas razones, ya que los atacantes parecen haber dirigido su atención hacia ellos.

Los incidentes consecutivos de Aztec afectaron a productos que habían sido dados de baja en 2022 y 2023, con controles administrativos renunciados en cadena, sin dejar ningún mecanismo para parches de emergencia, según Aztec Labs.

Otro ataque que involucró contratos obsoletos fue el que vio salir $2,1 millones de un vault heredado vinculado a Thetanuts Finance el 15 de junio. 

El investigador de seguridad Blockful.eth señaló este patrón emergente en X, indicando que múltiples exploits habían golpeado "contratos antiguos con millones de dólares inactivos." 

¿Qué significa esta tendencia para el resto de 2026?

Las pérdidas acumuladas en 2026, desde enero hasta finales de mayo, alcanzaron alrededor de $1.300 millones, según CertiK. Los incidentes de junio se están sumando a ese total con el trimestre aún abierto.

La última tendencia de ataques de menor cuantía marca un cambio respecto a años anteriores, cuando un único exploit de puente o brecha en un exchange podía representar miles de millones. 

Los ataques frecuentes ahora apuntan al acceso de administrador, la infraestructura de puentes y el código abandonado, a diferencia de lo que solían ser los ocasionales eventos catastróficos del pasado.

Sin embargo, las capacidades de respuesta han mejorado, siendo el incidente de KelpDAO en abril un ejemplo notable. El Consejo de Seguridad de Arbitrum congeló $71 millones de los fondos del atacante de KelpDAO utilizando poderes de emergencia, según informó Cryptopolitan.

No solo leas noticias de criptomonedas. Entiéndelas. Suscríbete a nuestro boletín. Es gratuito.