Cargando precios...
Registrarse
BlockchainProyectos y CriptomonedasRegulación y LegislaciónTecnologías y Protocolos

Contratos DeFi no verificados vinculados a pérdidas de USD 36,7 millones según informe de Chainalysis

Arturo Trenard Arturo Trenard · · 4 min de lectura
Únete a nuestro Canal de Telegram

Contratos DeFi no verificados vinculados a pérdidas de USD 36,7 millones según informe de Chainalysis

En los últimos seis meses, al menos cuatro exploits en el ecosistema de finanzas descentralizadas (DeFi) han estado vinculados a contratos inteligentes no verificados, generando pérdidas por un total de 36,7 millones de dólares, según un informe de la firma de análisis blockchain Chainalysis. Los atacantes utilizan herramientas de descompilación e inteligencia artificial para identificar vulnerabilidades en código no público, desafiando la creencia de que ocultar el código fuente proporciona una capa adicional de seguridad.

El mayor exploit: Truebit y una vulnerabilidad de cuatro años

El incidente más grande registrado en el informe involucró al protocolo Truebit, con una pérdida de 26,2 millones de dólares. El atacante explotó una vulnerabilidad de desbordamiento de enteros (integer overflow) en un contrato que no había sido verificado en la red Ethereum desde 2021.

Este caso demuestra que vulnerabilidades antiguas, incluso en contratos sin verificar, siguen representando un riesgo significativo para el ecosistema. La falta de verificación impidió que investigadores de seguridad y programas de recompensas por errores (bug bounties) detectaran la falla a tiempo.

Ataques a la opacidad: cómo operan los atacantes

Chainalysis atribuye esta tendencia a los avances en herramientas de descompilación e inteligencia artificial. Estas tecnologías permiten a los atacantes realizar ingeniería inversa del bytecode de los contratos inteligentes, identificando vulnerabilidades sin necesidad de acceder al código fuente original.

«Lo que antes requería ‘un ingeniero inverso experto dedicando días a un solo contrato’, ahora puede automatizarse parcialmente en grandes cantidades de contratos no verificados», señala el informe de Chainalysis.

La estrategia de seguridad basada en el ocultamiento (security by obscurity) está perdiendo efectividad rápidamente. Los protocolos que dependen de código oculto están confiando cada vez más en «la oscuridad como medida de seguridad», un enfoque que la compañía dice está perdiendo efectividad rápidamente.

Las víctimas y los contratos no verificados

Además de Truebit, los protocolos afectados incluyen Trusted Volumes, Aperture Finance y Ekubo. En todos los casos, el contrato explotado no había sido verificado en un explorador de bloques, lo que limitó el escrutinio por parte de investigadores de seguridad y excluyó a los contratos de muchos programas de recompensas por errores, a pesar de que controlaban fondos de usuarios.

Chainalysis identificó que cinco protocolos en total sufrieron exploits en contratos no verificados, aunque el informe detalla cuatro casos específicos.

Recomendaciones de Chainalysis para prevenir futuros ataques

El informe desafía la suposición de que mantener el código privado es una medida de seguridad válida. Como respuesta, Chainalysis recomienda:

  • Verificación del código fuente en exploradores de bloques.
  • Ampliación de la cobertura de los programas de recompensas por errores.
  • Implementación de herramientas de monitoreo en tiempo real.

Pérdidas récord en abril de 2026

El informe de Chainalysis se suma a un aumento más amplio de exploits en criptomonedas durante 2026. Según datos de DeFiLlama, en abril de 2026 los hackers robaron 629,7 millones de dólares, la cifra mensual más alta desde febrero de 2025.

Los principales incidentes del mes fueron el exploit a KelpDAO, con 293 millones de dólares perdidos, y el ataque a Drift Protocol, con 280 millones de dólares. Ambos representaron más del 80% de las pérdidas totales de abril.

Aunque las pérdidas cayeron en mayo a 68,3 millones de dólares, según la firma de seguridad CertiK, el impacto de los ataques de abril continuó sintiéndose en el ecosistema.

Secuelas de los grandes ataques: lavado de fondos y medidas de seguridad

En junio, la plataforma de análisis Arkham informó que el atacante de KelpDAO había lavado casi la totalidad de los 220 millones de dólares en fondos robados no congelados. El exploit provocó que varios protocolos DeFi revisaran su infraestructura de seguridad.

Como ejemplo concreto, Solv Protocol anunció planes de migrar a la infraestructura cross-chain de Chainlink tras realizar revisiones de seguridad internas.

El rol de la inteligencia artificial en los ciberataques

Este mes, la empresa de inteligencia artificial Anthropic informó que 560 de las 832 cuentas que prohibió por violaciones de políticas en un período de un año habían utilizado IA para preparar ciberataques. Los usos incluyen la escritura de malware y la identificación de vulnerabilidades, lo que conecta directamente con la tendencia señalada por Chainalysis sobre la creciente sofisticación de los ataques a contratos no verificados.

Click to rate this post!
[Total: 0 Average: 0]
Compartir: Facebook Instagram X WhatsApp Telegram LinkedIn Copiar enlace

Noticias Relacionadas