Abril ya ha visto más de $600 millones robados en DeFi, puentes y monederos, convirtiendo la seguridad de una preocupación a nivel de protocolo en una prima de riesgo de mercado en toda regla.
Nuevas cifras agregadas muestran que los protocolos de criptomonedas ya han perdido más de $606 millones debido a ataques en los primeros 18 días de abril, convirtiéndolo en el peor mes para exploits desde febrero de 2025 y elevando el total acumulado de 2026 por encima de los $770 millones. Según datos de DefiLlama, al menos 13 protocolos han sido comprometidos este mes, con KelpDAO y Drift Protocol representando por sí solos alrededor del 95% de las pérdidas de abril y aproximadamente el 75% del total de 2026.
KelpDAO, un protocolo de liquid staking de Ethereum, sufrió un ataque el 18 de abril que drenó aproximadamente 116.500 rsETH, valorados en unos $292 millones, después de que un atacante falsificara mensajes entre cadenas para engañar a un contrato de puente LayerZero EndpointV2 para liberar reservas. Drift, el exchange descentralizado de perpetuos más grande de Solana, fue atacado el 1 de abril en lo que los medios regionales denominaron un exploit “sofisticado”, perdiendo unos $285 millones en lo que ahora es la segunda brecha de seguridad más grande en la historia de Solana después del hackeo de Wormhole de $326 millones en 2022.
La última ola de ataques no se limita a errores en contratos inteligentes o primitivas de restaking. Los incidentes han afectado a capas de enrutamiento e infraestructura como Hyperbridge, así como a proveedores de front-end y DevOps como Vercel, donde los atacantes accedieron a sistemas internos y supuestamente están ofreciendo datos robados por $2 millones para alimentar “ataques a la cadena de suministro global”.
En el lado humano, el proveedor de monederos Zerion reveló que fue objetivo de hackers norcoreanos que utilizaron campañas de ingeniería social de largo alcance y potenciadas por IA para comprometer claves de monederos calientes, robando aproximadamente $100.000 mientras dejaban intactos los fondos de los usuarios y la infraestructura central. La Alianza de Seguridad (SEAL) ha identificado al menos 164 dominios maliciosos vinculados al grupo UNC1069, asociado a la RPDC, describiendo su modus operandi como definido por “paciencia, precisión y la instrumentalización deliberada de las relaciones de confianza existentes”.
Datos de la industria de episodios anteriores, como el exploit de monedero caliente de $70 millones en el exchange Phemex, con sede en Singapur, en 2025, ya habían resaltado la tendencia de los actores vinculados a Corea del Norte a convertir rápidamente USDT y USDC robados en ETH para evadir las listas negras, un patrón que las autoridades dicen que continúa en 2026.
La estructura del mercado reaccionó en tiempo real a medida que se acumulaban los hacks de abril. Entre las 11:00 y las 13:00 UTC en días clave de noticias, los libros de órdenes en nombres de DeFi de mediana capitalización más débiles mostraron firmas clásicas de “capitulación”: caídas en una sola sesión de aproximadamente 5-8%, ofertas escasas y una rotación visible hacia protocolos con historiales de seguridad más limpios. Los mercados de derivados vieron que la financiación de cestas para DeFi se inclinó ligeramente negativa mientras la liquidez spot se agotaba, el tipo de configuración que los operadores asocian con un “impuesto de seguridad” general sobre los activos de riesgo en lugar de shocks idiosincrásicos aislados.
Para los traders, esto ha convertido la seguridad en un factor explícito: reducir la beta de DeFi apalancada ante titulares de exploits, mantenerse en largo en plataformas centralizadas e infraestructura que monetiza la volatilidad, y guardar liquidez ("dry powder") para vendedores forzados una vez que la deuda incobrable y las amortizaciones sean plenamente reconocidas en la cadena.
