Según datos de DeFiLlama, el segundo trimestre de 2026 marcó el peor período de tres meses en la historia de la seguridad cripto. A partir del 22 de junio, se informaron aproximadamente 83 brechas de seguridad en el sector, duplicando el récord trimestral anterior de ataques en la industria.
Las pérdidas totales se mantienen altas, pero por debajo del pico histórico
El valor total robado durante el trimestre se estimó en alrededor de 775 millones de dólares. Aunque esta cifra es sustancial, aún está por debajo de las pérdidas catastróficas vistas en algunos trimestres anteriores. El récord de pérdidas en dólares sigue siendo de 3.56 mil millones de dólares en el cuarto trimestre de 2020.
Unfolded, un proveedor de inteligencia del mercado cripto, enfatizó que esta tendencia negativa no fue impulsada por un puñado de incidentes a gran escala, sino más bien por una secuencia implacable de brechas más pequeñas durante el trimestre.
Unfolded, conocido por recopilar datos y conocimientos sobre el mercado cripto, destacó que el desafiante panorama de este trimestre se dio por ataques frecuentes y de menor escala en lugar de unos pocos hackeos mayores. El flujo persistente de incidentes menores creó un mayor sentido de inseguridad dentro del sector.
Dos incidentes representaron la mayoría de los daños
La mayoría de las pérdidas del segundo trimestre provinieron de solo dos eventos importantes: KelpDAO sufrió un robo de 293 millones de dólares y Drift Protocol fue afectado por 280 millones de dólares. Estas dos brechas por sí solas representaron más de tres cuartas partes de los fondos totales robados durante el período.
Ambos ataques ocurrieron en abril. CertiK confirmó que el mes vio pérdidas récord para la industria con 651 millones de dólares robados en 28 a 30 ataques separados.
Mini glosario: Un puente entre cadenas es una infraestructura que permite la transferencia de activos entre diferentes redes blockchain. OFT (Omnichain Fungible Token) es un estándar utilizado en el ecosistema de LayerZero, permitiendo que los tokens funcionen sin problemas en múltiples blockchains.
| Incidente | Pérdida | Proporción del total del período |
|---|---|---|
| KelpDAO | 293 millones de dólares | Aproximadamente 38% |
| Drift Protocol | 280 millones de dólares | Parte significativa |
| Ataques relacionados con puentes | 351 millones de dólares | Mayor categoría de pérdida |
Las vulnerabilidades de los puentes entre cadenas lideraron la lista como el vector de ataque más costoso. En el segundo trimestre, las brechas asociadas con estos puentes llevaron a alrededor de 351 millones de dólares en robos. El puente LayerZero OFT explotado en el caso de KelpDAO por sí solo representó más del 38% de las pérdidas del trimestre. Las credenciales de administrador comprometidas y las manipulaciones de precios de tokens falsos contribuyeron con el 37% de los daños, mientras que el robo de claves privadas fue responsable de aproximadamente el 5.7% de las pérdidas.
Alta frecuencia de ataques distribuidos a lo largo de los meses
Los informes mensuales de CertiK muestran 58 incidentes en abril, 60 en mayo y 25 en junio hasta ahora. A pesar de que queda más de una semana en junio, la cadena de brechas ha continuado. Aunque mayo registró el mayor número de casos con 60, las pérdidas totales de ese mes fueron solo 68.3 millones de dólares, confirmando una tendencia hacia ataques más frecuentes pero menos costosos.
Junio también vio eventos significativos: El 8 de junio, se robaron 32 millones de dólares de Humanity Protocol debido a un compromiso de clave privada. Los contratos inteligentes obsoletos de Aztec Connect fueron atacados dos veces en una semana: se robaron 2.19 millones de dólares el 14 de junio, seguidos por otra pérdida de 2 millones de dólares el 17 de junio. Mientras tanto, Taiko confirmó el 22 de junio que su mecanismo de validación de puentes fue explotado por 1.7 millones de dólares. El 10 de junio, el intercambio descentralizado Raydium perdió 1.34 millones de dólares en un ataque de acuñación de LP falsificado.
Aztec Labs aclaró que los privilegios administrativos en productos discontinuados (retirados en 2022 y 2023) habían sido renunciados en cadena, dejando sin mecanismo de parche de emergencia.
Los contratos obsoletos se convierten en nuevos objetivos
Los contratos inteligentes que los equipos de desarrollo habían abandonado previamente ahora están siendo revisitados, no para mejoras técnicas, sino debido a fallos de seguridad latentes. Los incidentes de Aztec subrayaron que incluso los productos inactivos durante mucho tiempo siguen siendo objetivos atractivos para los hackers.
En un episodio similar, una bóveda antigua vinculada a Thetanuts Finance fue vaciada de 2.1 millones de dólares el 15 de junio. El investigador de seguridad Blockful.eth enfatizó que múltiples ataques han apuntado a contratos inactivos que albergan millones en fondos estancados.
Las cifras de CertiK muestran que las pérdidas acumuladas totales de cripto desde enero hasta el final de mayo de 2026 alcanzaron aproximadamente 1.3 mil millones de dólares, con los incidentes de junio sumándose a esta suma. Los datos revelan un cambio de los masivos hacks únicos de puentes o intercambios de años anteriores, hacia brechas más frecuentes que apuntan al acceso administrativo, infraestructura de puentes y bases de código abandonadas.
