En apenas 18 días del mes de abril de 2026, el ecosistema DeFi registró más de 12 ataques relevantes sumando US$ 606 millones en pérdidas. Es el peor número desde el asalto a Bybit, en 2025, y cuatro veces el total del primer trimestre del año.
Los dos casos que dominaron el mes
Drift Protocol — 1º de abril — US$ 285 millones
Lo que parecía una broma de 1º de abril se convirtió en el mayor incidente del año hasta entonces. La DEX basada en Solana fue explotada mediante autorizaciones pre-firmadas escondidas en contratos, resultado de una campaña de ingeniería social que duró meses.
La investigación atribuye el ataque a grupos vinculados a Corea del Norte — el mismo perfil operacional visto en incidentes contra Bybit y otros exchanges. El modus operandi implica:
- Creación de identidades falsas de "desarrolladores" en LinkedIn y GitHub;
- Infiltración en equipos mediante contratación remota como freelancers;
- Inyección gradual de firmas maliciosas en el sistema de permisos;
- Activación sincronizada de la explotación.
Tether anunció compromiso de US$ 147,5 millones para liderar el plan de recuperación del protocolo.
Kelp DAO — 19 de abril — US$ 293 millones
Pocas semanas después, Kelp DAO superó a Drift como mayor exploit de 2026. El ataque apuntó a un puente cross-chain construido sobre LayerZero, drenando casi US$ 300 millones en una única madrugada de sábado. Wallets vinculadas al robo ya comenzaron a mover fondos a través de servicios de mixing.
El evento provocó un éxodo general del DeFi: el TVL (Total Value Locked) agregado cayó US$ 14 mil millones en 48 horas, al nivel más bajo en un año.
Otros incidentes del mes
- CoW Swap (14/abr): US$ 1,2 millones mediante secuestro de dominio, con atacantes haciéndose pasar por empleados ante el registro.
- Vercel (20/abr): brecha en el proveedor de infra web expuso claves de API, forzando proyectos cripto a rotar credenciales en masa.
- Ice Open Network (15/abr): brecha de identidad involucrando ex-socios y fuga de base de usuarios.
Patrones que se repiten
Analizando los ataques en conjunto, tres vectores dominaron el mes:
- Ingeniería social de largo plazo — ya no es "phishing de correo electrónico". Son meses de infiltración.
- Puentes cross-chain — siguen siendo el punto débil estructural del multichain.
- Supply chain — atacar dependencias (Vercel, proveedor de dominio) es más lucrativo que atacar el protocolo final.
La perspectiva ON3X
Cada mes como abril refuerza por qué defendemos el modelo de cripto custodiada por plataforma regulada para la mayoría de los usuarios. Autocustodia y DeFi tienen su lugar — pero requieren conocimiento técnico que el promedio del mercado no tiene. Cuando alguien cae en un phishing que drena autorizaciones pre-firmadas, el usuario lo pierde todo, y el protocolo no tiene a quién acudir.
En plataformas como ON3X, segregación patrimonial, seguros regulatorios, monitoreo on-chain 24/7 e informes a autoridades son parte del contrato. No es el mismo riesgo. No es la misma experiencia.
Para quienes operan en DeFi: revisen hoy los permisos concedidos a cada contrato usando herramientas como Revoke.cash. La lección de abril es que las firmas antiguas matan.