Los mayores hacks de criptomonedas de todos los tiempos: historial completo (actualización de 2026)

Desde 2011, delincuentes, actores estatales y explotadores oportunistas han robado más de 20 mil millones de dólares en criptomonedas mediante hackeos, exploits y compromisos de intercambio. La historia de las criptomonedas es, en muchos sentidos, la historia de estos robos. Cada incidente importante ha cambiado la forma en que los intercambios almacenan fondos y cómo se manejan los protocolos DeFi. contrato inteligente actualizaciones y cómo ven los reguladores toda la industria. Comprender los mayores hacks de criptomonedas no es sólo una trivialidad fascinante. Es un contexto esencial para cualquiera que posea activos digitales, construya Web3 o opere en plataformas centralizadas.

Esta guía clasifica los 15 mayores hackeos de criptomonedas de todos los tiempos hasta 2026, desglosa los vectores de ataque que los hicieron posibles, atribuye los que se remontan a actores estatales como el Grupo Lazarus de Corea del Norte y analiza qué fondos robados se recuperaron alguna vez. También veremos cómo las empresas forenses de blockchain como Chainalysis y los investigadores en cadena como ZachXBT rastrean los activos robados a través de mezcladores, puentes e intercambios centralizados. Al final, tendrá una imagen completa de dónde ha estado la criptoseguridad, dónde se encuentra hoy y qué patrones de ataque observar en el futuro.

Las cifras son asombrosas. El mayor hackeo de la historia, la violación de la billetera fría de Bybit en febrero de 2025, costó 1.500 millones de dólares en un solo ataque. Ese incidente superó el total anual de hackeos de 2023. Sin embargo, fue solo un capítulo de una historia mucho más larga que comienza con Mt. Gox en 2011 y continúa con nuevas variaciones de las mismas vulnerabilidades fundamentales que se explotan cada año.

Los 15 mayores hacks de criptomonedas de todos los tiempos

Esta clasificación se basa en el valor en dólares de los activos robados en el momento del incidente. Cuando se produjeron recuperaciones posteriores al incidente, se utiliza la cifra de pérdida original. La lista se actualiza hasta 2026 e incluye tanto compromisos de intercambio centralizados como exploits de protocolos descentralizados.

#1 Bybit ($1.500 millones, febrero de 2025): el hack más grande de la historia

El 21 de febrero de 2025, el intercambio centralizado Bybit experimentó lo que ahora es el mayor robo de criptomonedas jamás registrado. Los atacantes manipularon la interfaz de usuario durante una operación de firma de rutina en una billetera multifirma segura, engañando a los firmantes para que aprobaran una transacción que transfirió el control de una de las billeteras frías Ethereum de Bybit a una dirección controlada por los atacantes. En cuestión de horas, se agotaron aproximadamente 401.000 ETH con un valor aproximado de 1.500 millones de dólares en ese momento.

El ataque no fue un error de contrato inteligente en el sentido tradicional. El contrato Safe en sí funcionó exactamente como se diseñó. El exploit ocurrió en la capa de interfaz humana. Los firmantes vieron lo que parecía una transacción legítima en su navegador, pero los datos de la llamada subyacente habían sido modificados por un código malicioso inyectado a través de una interfaz segura comprometida. Esto a veces se denomina ataque de firma ciega y representa una nueva generación de amenazas en las que el contrato inteligente es sólido pero la interfaz utilizada para firmar transacciones está comprometida.

En 24 horas, el FBI, Chainalysis, Elliptic y ZachXBT habían atribuido públicamente el ataque a Lazarus Group, el colectivo de hackers patrocinado por el estado de Corea del Norte. El ETH robado se dividió rápidamente entre miles de billeteras intermediarias, se intercambió a través de DEX y se canalizó a mezcladores que incluyen Tornado Cash y el enfoque centrado en Bitcoin eXch servicio de permuta. El director ejecutivo de Bybit, Ben Zhou, confirmó públicamente la pérdida en cuestión de horas, abrió un préstamo puente de emergencia de las principales contrapartes y prometió que los fondos de los clientes se recuperarían. El intercambio cumplió esa promesa y reanudó los retiros completos en 72 horas, una respuesta ampliamente elogiada como la mejor gestión de crisis de su clase.

Red Ronin n.º 2 (625 millones de dólares, marzo de 2022)

El puente Ronin fue la cadena lateral que impulsó Axie Infinity, el juego de juego para ganar más exitoso en la historia de las criptomonedas. En marzo de 2022, los agentes del Grupo Lazarus realizaron ingeniería social para llegar a Sky Mavis a través de una oferta de trabajo falsa en LinkedIn a uno de los ingenieros superiores de la empresa. El ingeniero descargó lo que parecía ser un PDF con una descripción del trabajo, que en realidad contenía malware que les daba a los atacantes acceso persistente a la infraestructura de Sky Mavis.

A partir de ahí, los atacantes cosecharon cuatro de los nueve validator key credenciales necesarias para firmar retiros del puente Ronin. También descubrieron que un quinto validador, controlado por Axie DAO, había sido configurado para firmar automáticamente transacciones durante un período anterior de alto tráfico y esa configuración nunca se había revertido. Con cinco de las nueve firmas bajo su control, acuñaron transacciones de retiro por 173.600 ETH y 25,5 millones de USDC, por un total de aproximadamente 625 millones de dólares.

La infracción no se detectó durante seis días. Ronin solo descubrió el robo cuando un usuario intentó retirar 5000 ETH y la transacción falló porque el puente estaba vacío. La OFAC del Tesoro de Estados Unidos sancionó a la billetera receptora y atribuyó formalmente el ataque a Lazarus en abril de 2022. Casi ninguno de los fondos robados fue recuperado. Sky Mavis y Binance financiaron conjuntamente un fondo de reembolso de 150 millones de dólares para los usuarios afectados.

#3 Poly Network ($611 millones, agosto de 2021): el truco que fue devuelto

Poly Network es un protocolo de interoperabilidad entre cadenas. En agosto de 2021, un solo atacante aprovechó una vulnerabilidad en la forma en que el protocolo verificaba los mensajes entre cadenas, lo que les permitió efectivamente obtener privilegios de administrador en el contrato Poly y drenar $611 millones en Ethereum, BSC y Polygon.

Entonces sucedió algo inesperado. El atacante, que más tarde se identificó como "Mr. White Hat", devolvió voluntariamente casi la totalidad del importe robado durante las dos semanas siguientes. Afirmaron públicamente que el hack se realizó "por diversión" y para exponer la vulnerabilidad. Poly Network incluso ofreció al atacante una recompensa por error de 500.000 dólares y un trabajo como su principal asesor de seguridad. El atacante aceptó la recompensa pero no aceptó el trabajo. Este sigue siendo el resultado más inusual en la historia de los principales hackeos de criptomonedas. Casi todos los demás casos de esta lista terminaron con la desaparición permanente de los atacantes junto con los fondos.

#4 Puente de las Cadenas BNB ($570 millones, octubre de 2022)

El puente entre cadenas nativo de BNB Chain, conocido como BSC Token Hub, fue explotado a través de una prueba Merkle falsificada. El atacante descubrió una falla en la forma en que la verificación de prueba IAVL del puente manejaba ciertos casos extremos. Al elaborar una prueba maliciosa que el puente aceptó como válida, acuñaron 2 millones de BNB por un valor aproximado de 570 millones de dólares en ese momento. Éste es un ejemplo clásico de bridge exploit donde la verificación criptográfica de mensajes entre cadenas está fundamentalmente rota.

El ataque probablemente habría resultado en una pérdida mucho mayor, pero el conjunto de validadores de BNB Chain coordinó una parada de emergencia de la red pocas horas después del exploit. Al detener la producción de bloques, congelaron aproximadamente 430 millones de dólares de los fondos robados en BNB Chain. Los 137 millones de dólares restantes ya se habían transferido a otras cadenas y eran en gran medida irrecuperables. El incidente destacó tanto los riesgos de los conjuntos de validadores autorizados (la red podría detenerse) como los beneficios (la pérdida se limitó a una fracción de lo que podría haber sido).

#5 Coincheck ($530 millones, enero de 2018)

Coincheck, con sede en Tokio, almacenó aproximadamente 523 millones de tokens NEM en una sola billetera activa sin protección de firmas múltiples. En enero de 2018, los atacantes comprometieron la billetera y transfirieron el saldo completo, por un valor aproximado de 530 millones de dólares, a 11 direcciones diferentes que controlaban. La Fundación NEM etiquetó las monedas robadas en la cadena y pidió a los intercambios que las rechazaran, pero la mayoría de los fondos se lavaron a través de mercados oscuros y servicios de intercambio imposibles de rastrear antes de que pudiera ocurrir cualquier intervención significativa.

Coincheck finalmente reembolsó a los usuarios afectados con sus propios fondos corporativos, un resultado que era poco común en ese momento y ayudó a restaurar algo de confianza en los intercambios japoneses. El hackeo de Coincheck sigue siendo el mayor robo de criptomonedas de un intercambio japonés y condujo directamente a regulaciones más estrictas de la FSA japonesa que exigen el almacenamiento en frío de los activos de los clientes, de forma obligatoria. seguridad auditorías y segregación de fondos operativos y de clientes.

#6 Mt. Gox ($470 millones, 2011-2014)

Mt. Gox es el truco criptográfico original y posiblemente el más importante. Con sede en Tokio, Mt. Gox manejó aproximadamente el 70% de todo el volumen de comercio global de Bitcoin en su punto máximo en 2013. Durante un período de varios años que comenzó en 2011, los atacantes explotaron la seguridad débil y casi con certeza la complicidad interna para drenar sistemáticamente aproximadamente 850.000 BTC de las billeteras del intercambio, con un valor de alrededor de $470 millones a precios de 2014. Al precio actual de BTC, la pérdida representa decenas de miles de millones de dólares.

Mt. Gox se declaró en quiebra en febrero de 2014. El caso se convirtió en uno de los procedimientos de insolvencia de mayor duración en la historia financiera. Las distribuciones de rehabilitación civil a los acreedores finalmente comenzaron en 2024 y continuaron hasta 2025, más de una década después del colapso original. El caso de Mt. Gox marcó el modelo que seguirían casi todos los intercambios de cifrado: las señales de advertencia eran públicas, las fallas eran sistémicas y el proceso de recuperación fue tortuosamente lento. Las lecciones de Mt. Gox todavía informan las prácticas de custodia de los exchanges en la actualidad.

#7 FTX ($415 millones de drenaje posterior a la quiebra, noviembre de 2022)

FTX es más famoso como fraude que como hack, pero en la noche del 11 de noviembre de 2022, horas después de que el intercambio se acogiera al Capítulo 11 de la bancarrota, un atacante desconocido drenó aproximadamente $415 millones de las billeteras de FTX. Los nuevos administradores concursales confirmaron públicamente la pérdida al día siguiente. Posteriormente, las investigaciones atribuyeron el ataque a ex empleados o contratistas de FTX que conservaron el acceso a private key material durante el caos de la declaración de quiebra.

En 2024, los fiscales federales de EE. UU. acusaron a tres personas en relación con la fuga de FTX, acusándolas de conspiración para cometer fraude electrónico y robo de identidad agravado. El caso es inusual porque representa tanto un hackeo como las consecuencias de una falla corporativa que colisiona en el peor momento posible para los usuarios afectados.

Agujero de gusano n.º 8 (320 millones de dólares, febrero de 2022)

Wormhole es un puente entre Solana y Ethereum. En febrero de 2022, un atacante aprovechó una falla en la forma en que el puente verificaba las firmas de los guardianes. Presentaron una VAA (aprobación de acción verificable) maliciosa con una firma falsificada, engañando al puente haciéndole creer que se habían bloqueado 120.000 wETH en Ethereum cuando no era así. Luego, el puente acuñó 120.000 wETH en Solana para el atacante, quien rápidamente los cambió por SOL y otros activos.

El giro único en la historia de Wormhole es el rescate. Jump Crypto, uno de los mayores patrocinadores del proyecto Wormhole, depositó inmediatamente 320 millones de dólares de su propio ETH en el puente para respaldar la pérdida. Este fue el mayor rescate privado en la historia de las criptomonedas en ese momento. Significaba que ningún usuario de Wormhole perdió fondos. El coste corrió a cargo íntegramente de Jump. El atacante nunca fue identificado públicamente.

#9 DMM Bitcoin ($305 millones, mayo de 2024)

El exchange japonés DMM Bitcoin perdió aproximadamente 4,503 BTC por valor de $305 millones en mayo de 2024 debido a un compromiso de clave privada. La empresa matriz de la bolsa inyectó capital de emergencia para reembolsar a los usuarios afectados. La policía japonesa colaboró más tarde con el FBI y anunció la atribución a Lazarus en diciembre de 2024, identificando la ingeniería social de un proveedor de servicios de billetera externo como el vector de intrusión inicial. DMM Bitcoin anunció a finales de 2024 que cerraría sus operaciones y que las cuentas de los clientes se transferirían a SBI VC Trade.

#10 KuCoin ($281 millones, septiembre de 2020)

Las billeteras calientes de KuCoin se agotaron el 25 de septiembre de 2020, en un ataque que inicialmente pareció devastador pero que terminó siendo una de las mejores historias de recuperación en la historia de las criptomonedas. Los atacantes robaron aproximadamente 281 millones de dólares en Bitcoin, Ethereum y una amplia gama de tokens ERC-20. KuCoin trabajó con los equipos del proyecto para congelar tokens que aún no se habían intercambiado, incluir en la lista negra las direcciones de los atacantes y coordinar bifurcaciones para algunos tokens donde la congelación no era posible. El resultado fue que finalmente se recuperó aproximadamente el 84% del valor robado.

Puente Nómada #11 ($190 millones, agosto de 2022)

El truco del puente Nomad es único porque se convirtió en un juego gratuito para todos. Después de que una actualización rutinaria de contrato inteligente introdujera un error que causaba que el puente aceptara cualquier mensaje como válido, el primer atacante drenó una parte de los fondos, y luego docenas de imitadores notaron el mismo exploit en Etherscan, copiaron la transacción y la reprodujeron con sus propias direcciones sustituidas. En cuestión de horas, cientos de direcciones diferentes drenaron aproximadamente $190 millones, desde sofisticados bots MEV hasta explotadores primerizos que simplemente cambiaron un solo campo en una transacción. Algunos sombreros blancos también agotaron fondos de manera proactiva para devolverlos más tarde.

#12 Beanstalk ($182 millones, abril de 2022)

Beanstalk Farms era un protocolo de moneda estable regido por votación ponderada por tokens. En abril de 2022, un atacante obtuvo un préstamo rápido para adquirir una gran mayoría de tokens de gobernanza, votó a través de una propuesta maliciosa que transfirió todos los fondos del protocolo a una dirección que controlaba y pagó el préstamo rápido, todo en una sola transacción. El exploit costó 182 millones de dólares. Este es el ejemplo canónico de un ataque de préstamo rápido de gobernanza y condujo a la adopción generalizada de votación basada en instantáneas y retrasos de propuestas con límite de tiempo en todo DeFi.

#13 Wintermute ($160 millones, septiembre de 2022)

Wintermute es un importante creador de mercado de cifrado. En septiembre de 2022, los atacantes explotaron una vulnerabilidad en el generador de direcciones personalizadas de Profanity que la empresa había utilizado para crear una de sus billeteras operativas. Las malas palabras utilizaban una entropía insuficiente, lo que hacía que ciertas direcciones de vanidad se pudieran descifrar mediante la fuerza bruta. Los atacantes aplicaron ingeniería inversa a la clave privada de una dirección de administrador de Wintermute y extrajeron 160 millones de dólares de la bóveda DeFi de la empresa.

#14 Cream Finance ($130 millones, octubre de 2021)

Cream Finance es un protocolo del mercado monetario que sufrió tres ataques distintos solo en 2021. El incidente de octubre fue el más grande, en el que los atacantes utilizaron una compleja estrategia de préstamos rápidos para manipular el oráculo de precios de yUSD, lo que les permitió pedir prestado a Cream mucho más de lo que realmente valía su garantía. El exploit costó 130 millones de dólares. Cream nunca se recuperó por completo y el protocolo fue reduciendo lentamente las operaciones durante los años siguientes.

#15 Multicadena ($126 millones, julio de 2023)

El colapso de Multichain (anteriormente AnySwap) sigue siendo una de las historias más extrañas en criptografía. En julio de 2023, se drenaron 126 millones de dólares en activos de usuarios de contratos puente Multichain en circunstancias extrañas. Según los informes, el director ejecutivo del protocolo había sido detenido por las autoridades chinas y tenía todas las claves MPC (computación multipartita) del puente. Cuando no estaba disponible, las claves no se podían rotar ni revocar, y alguien (posiblemente las autoridades, posiblemente un hacker, posiblemente el propio equipo) drenaba el puente. El protocolo se cerró permanentemente y la mayoría de los usuarios afectados nunca recuperaron sus fondos.

Taxonomía de vectores de ataque: las cinco formas en que se piratea la criptomoneda

En los 15 incidentes y los cientos de ataques más pequeños que ocurren cada año, casi todos los exploits encajan en una de las cinco categorías de vectores de ataque. Comprender estas categorías le ayuda a evaluar el riesgo de cualquier plataforma con la que interactúe.

Grupo Lazarus: El actor estatal norcoreano

Si lees suficientes autopsias de hacks, sigue apareciendo un nombre. Lazarus Group es un colectivo de hackers atribuido a la Oficina General de Reconocimiento de Corea del Norte. Múltiples agencias de inteligencia, incluidas el FBI, CISA, NCSC y el NIS de Corea del Sur, han nombrado públicamente a Lazarus como un actor patrocinado por el estado cuyas operaciones financian los programas de armas de Corea del Norte frente a las sanciones internacionales. El Tesoro de los EE.UU. OFAC ha sancionado numerosas carteras y batidoras utilizadas por el grupo.

Lazarus ha sido atribuido a al menos tres de los 15 principales hacks de este artículo: Bybit ($1,500 millones), Ronin ($625 millones) y DMM Bitcoin ($305 millones). También se les cree responsables del hackeo de Atomic Wallet ($100 millones, junio de 2023), el hackeo de Stake.com ($41 millones, septiembre de 2023), el hackeo de WazirX ($235 millones, julio de 2024) y numerosos incidentes menores. La cantidad total robada por Lazarus en todas las operaciones criptográficas supera los $3 mil millones y se cree que financian aproximadamente la mitad del presupuesto de desarrollo de misiles de Corea del Norte a través de estos robos.

Las operaciones de Lazarus siguen un manual reconocible. La intrusión generalmente comienza con ingeniería social, a menudo una oferta de trabajo falsa en LinkedIn que entrega malware en un PDF o archivo comprimido de "desafío de codificación". El malware establece un acceso persistente y aumenta gradualmente los privilegios dentro de la organización objetivo hasta que los atacantes pueden firmar transacciones o extraer claves privadas. Una vez que se roban los fondos, se fragmentan en miles de direcciones intermediarias, se intercambian a través de DEX para romper vínculos con las transacciones originales y se blanquean a través de mixer antes de convertirse a fiat a través de mostradores OTC en jurisdicciones con cumplimiento deficiente.

Puentes: La superficie de ataque número uno

De los 15 hacks principales, siete involucraron puentes entre cadenas de alguna forma: Ronin, Poly Network, BNB Bridge, Wormhole, Nomad y Multichain. Los puentes representan más de 2.500 millones de dólares en fondos robados, aproximadamente una cuarta parte de todas las pérdidas importantes por robo de criptomonedas. Esta concentración no es una coincidencia. Los puentes son excepcionalmente difíciles de asegurar por varias razones estructurales.

Primero, los puentes contienen grandes cantidades de garantía bloqueada en una cadena que respalda tokens envueltos en otra. Esto los convierte en objetivos atractivos en comparación con los protocolos de cadena única. En segundo lugar, los puentes suelen depender de un conjunto de validadores o guardianes para dar fe de que los mensajes de una cadena son válidos en otra. Si una cantidad suficiente de esos validadores se ven comprometidos, el puente se puede drenar. En tercer lugar, la lógica de verificación criptográfica para mensajes entre cadenas es compleja y propensa a errores, lo que lleva a incidentes como la falla de verificación de firmas de Wormhole y el exploit de prueba Merkle de BNB. Para obtener una visión más profunda de cómo funciona esta superficie de ataque, consulte nuestro desglose dedicado de las truco de puente Fenómeno .

CEX vs DeFi vs Bridge: cómo se dividen las pérdidas

La narrativa popular es que DeFi es peligrosa y los intercambios centralizados son seguros. Los datos cuentan una historia más matizada.

Los intercambios centralizados representan las mayores pérdidas individuales y siguen siendo los objetivos de mayor valor. Los protocolos DeFi experimentan exploits más frecuentes pero generalmente más pequeños. Los puentes ocupan una categoría propia, situada entre la infraestructura centralizada y los contratos descentralizados, a menudo con los peores atributos de ambos. Para un inversor o comerciante, esto significa que la pregunta no es "¿DeFi es más seguro que CEX?". La pregunta es qué plataformas específicas han realizado el trabajo de seguridad para protegerse contra los vectores de ataque específicos que se aplican a su arquitectura.

Resultados de la recuperación: devuelto, parcial, nunca

Una vez que se roban los fondos, las posibilidades de recuperación varían enormemente según la identidad del atacante, la ruta de lavado utilizada y la rapidez con la que pueden actuar los investigadores. En los 15 trucos principales, los resultados se desglosan aproximadamente de la siguiente manera.

El patrón es claro. Los ataques perpetrados por actores estatales casi nunca se recuperan porque los atacantes tienen la infraestructura y el tiempo para lavar fondos a través de cadenas de mezcladores y mostradores OTC en jurisdicciones no cooperativas. Los ataques a los intercambios en los que el intercambio sobrevive a menudo resultan en el reembolso del usuario con fondos corporativos, incluso cuando el monto real robado es irrecuperable. Los exploits de DeFi a veces dan como resultado retornos parciales cuando se identifica al explotador y se le amenaza con acciones legales.

Análisis forense de blockchain: cómo se rastrean los fondos robados

Las blockchains públicas crean un rastro forense sin precedentes. Cada transacción se registra permanentemente. El desafío no es encontrar los datos, sino interpretarlos en millones de direcciones y conectar la actividad en cadena con identidades del mundo real. Un puñado de empresas e individuos se han convertido en expertos mundiales en este trabajo.

Análisis en cadena es la empresa de análisis de blockchain más grande y la principal herramienta utilizada por las fuerzas del orden en todo el mundo. Mantienen bases de datos completas de atribución de direcciones, agrupan billeteras que pertenecen a la misma entidad a través del análisis de patrones de transacciones y tienen relaciones directas con intercambios que les permiten identificar puntos de retiro de efectivo donde los fondos robados ingresan al sistema fiduciario.

Inteligencia Arkham ofrece una plataforma más orientada al comercio minorista que combina análisis en cadena con un sistema de recompensas. Los usuarios pueden publicar recompensas por identificar a los propietarios de billeteras específicas, creando una capa de atribución colaborativa que ha ayudado a descubrir varias atribuciones importantes de hackeos.

ZachXBT es el investigador independiente de blockchain más destacado. Se le atribuye la primera atribución de varias operaciones de Lazarus, incluido el suministro de inteligencia clave en el hackeo de Bybit pocas horas después del incidente. Sus hilos de investigación en las redes sociales han dado lugar a acciones policiales y han rescatado fondos de usuarios en múltiples casos.

Elíptica y Laboratorios TRM son otras importantes empresas forenses comerciales que trabajan principalmente con bolsas, instituciones financieras y agencias gubernamentales. Sus herramientas de detección automatizadas son parte de la razón por la que la mayoría de los intercambios regulados ahora rechazan depósitos de direcciones sancionadas o salidas mezcladoras conocidas.

Cómo los intercambios han reforzado su seguridad

Cada hack importante ha impulsado cambios estructurales en toda la industria. Después de Mt. Gox, los intercambios adoptaron pruebas de reservas y prácticas de almacenamiento en frío. Después de Coincheck, las carteras multifirma se convirtieron en estándar. Después del hack de Bybit, varios intercambios importantes, incluidos OKX y Binance, aceleraron la implementación de capas de verificación adicionales, firma respaldada por hardware para operaciones de billetera fría y simulación obligatoria de cada transacción en una zona de pruebas antes de firmar.

La propia respuesta de Bybit a su hack se ha convertido en un caso de estudio en la recuperación de divisas. A las 12 horas de la infracción, el CEO había revelado públicamente la pérdida, abrió una línea de préstamo puente con las principales contrapartes, congeló los retiros solo brevemente y se comprometió a resarcir a todos los clientes. En 72 horas, se reanudaron todas las operaciones y la mayoría de los usuarios retiraron fondos con éxito. Esta respuesta demostró que la resiliencia cambiaria ahora importa tanto como la prevención. Incluso una bolsa de primer nivel con reservas de miles de millones de dólares puede ser pirateada. La pregunta es con qué rapidez y transparencia manejan las consecuencias.

Las pilas de seguridad de los exchanges modernos suelen incluir almacenamiento en frío para al menos el 90 % de los activos de los clientes, módulos de seguridad de hardware para todas las operaciones de firma, esquemas de firmas múltiples con distribución geográfica de los firmantes, simulación de transacciones y motores de políticas que señalan patrones inusuales antes de firmar, control dual obligatorio para operaciones de alto valor, terceros regulares auditoría de contrato inteligente revisiones de cualquier contrato personalizado y certificaciones de prueba de reservas publicadas periódicamente.

Lecciones Aprendidas: Lo que todo inversor debe saber

La historia de los hacks de criptomonedas enseña varias lecciones que se aplican directamente a cómo debes administrar tus propias tenencias. En primer lugar, el riesgo cambiario es real incluso en las plataformas de primer nivel. El hack de Bybit demostró que incluso los intercambios centralizados más preocupados por la seguridad pueden verse comprometidos. Si mantiene grandes saldos en cualquier bolsa, debe evaluar la postura de respuesta a incidentes de la bolsa, no solo sus controles preventivos.

En segundo lugar, los puentes son intrínsecamente más riesgosos que las tenencias de una sola cadena. Si une activos entre cadenas, trate el puente como el eslabón más débil de la cadena y minimice la cantidad y el tiempo que mantiene los fondos puenteados. Utilice puentes sólo cuando realice transferencias activas, no como lugar para estacionar activos.

En tercer lugar, los tokens de gobernanza son valiosos y los protocolos en los que usted delega pueden correr el riesgo de sufrir ataques de gobernanza si no han implementado votaciones instantáneas y bloqueos de tiempo. Antes de participar en cualquier gobierno de DAO, verifique si el protocolo se ha reforzado contra vulnerabilidades de gobierno de préstamos flash.

Cuarto, el software de custodia y las interfaces de billetera son importantes. El hack de Bybit ocurrió en la capa UI de una billetera multifirma que en sí misma era segura. Verifique siempre los datos de las llamadas de transacciones a través de una fuente independiente, como una pantalla de billetera de hardware, antes de firmar operaciones de alto valor.

Quinto, las protecciones simples aún funcionan. Utilice una billetera de hardware para cualquier tenencia que no le resulte cómodo perder. Habilite la lista de direcciones permitidas de retiro en los intercambios. Utilice contraseñas únicas y claves de seguridad de hardware para cuentas de intercambio. Estas medidas básicas habrían evitado una gran parte de los ataques más pequeños que no aparecen en esta lista de los 15 principales pero que en conjunto cuestan a los usuarios miles de millones cada año. Para conocer un contexto de seguridad más amplio, consulte nuestros desgloses de vectores de ataque comunes como tarro de miel fichas, tirador de alfombra estafas, MEV extracción, ataque sándwich mecánica, 51% de ataque teoría, y ataque de sibila patrones que desempeñan funciones en el panorama de seguridad más amplio.

El punto de inflexión de 2025: cómo Bybit lo cambió todo

El hack de Bybit de febrero de 2025 fue un momento decisivo para toda la industria. La magnitud de la pérdida, 1.500 millones de dólares en una sola transacción, superó las pérdidas totales combinadas de cualquier año calendario anterior y obligó a una rápida reevaluación de cómo se llevan a cabo las operaciones de almacenamiento en frío en cada bolsa importante. El hecho de que el exploit apuntara a la interfaz hombre-máquina en lugar del núcleo criptográfico del sistema multifirma demostró que las definiciones tradicionales de custodia "segura" eran inadecuadas.

En los meses posteriores al hackeo, varios cambios estructurales se extendieron por toda la industria. Los fabricantes de billeteras de hardware, incluidos Ledger y Trezor, aceleraron sus iniciativas de "firma clara", que muestran interpretaciones legibles por humanos de los datos de las llamadas de transacciones en la pantalla del dispositivo, lo que dificulta engañar a los firmantes con interfaces de usuario maliciosas. El propio proyecto Safe revisó su arquitectura de seguridad frontal e introdujo flujos de verificación adicionales para operaciones de alto valor. Varios custodios institucionales comenzaron a implementar una simulación obligatoria de cada transacción antes de firmarla.

En cuanto al blanqueo, el caso Bybit impulsó una cooperación internacional sin precedentes. el El servicio de intercambio eXch , que se había utilizado para lavar una parte sustancial del ETH robado, fue cerrado por las autoridades europeas en mayo de 2025 después de una acción coordinada de las autoridades alemanas y holandesas. Esta fue la eliminación más importante de un servicio de lavado de criptomonedas desde Bestmixer en 2019 y demostró que incluso los servicios de intercambio nominalmente sin custodia no están fuera del alcance de los reguladores.

Consecuencias regulatorias

El impacto acumulativo de décadas de hackeos de criptomonedas ha impulsado respuestas regulatorias en casi todas las jurisdicciones importantes. La FSA de Japón impone algunos de los requisitos de custodia más estrictos a nivel mundial, surgidos directamente de las experiencias de Mt. Gox y Coincheck. El marco MiCA de la Unión Europea, que entró en vigor en 2024, exige la segregación de los fondos de los clientes, los requisitos de almacenamiento en frío y la notificación de incidentes para todos los proveedores de servicios de criptoactivos con licencia. Estados Unidos ha buscado hacer cumplir la ley a través de la SEC, la CFTC y el DOJ, y la OFAC ha sancionado numerosas carteras asociadas con Lazarus y otros actores ilícitos.

Las sanciones a los servicios de mezcla han sido particularmente trascendentales. Tornado Cash fue sancionado por la OFAC en agosto de 2022, lo que generó impugnaciones judiciales que continuarán hasta 2026. El marco de sanciones en torno a Tornado Cash y otras herramientas de privacidad han dado forma tanto a la evolución técnica de los mezcladores (hacia diseños más descentralizados y resistentes a las sanciones) como a la postura de cumplimiento de cada intercambio y protocolo DeFi que toca fondos con un historial potencialmente mixto.

Para los usuarios comunes, las consecuencias regulatorias han producido una combinación de beneficios y fricciones. Las reglas de segregación de fondos de clientes y las certificaciones de prueba de reservas brindan una seguridad adicional significativa. El cumplimiento de las normas de viaje y las comprobaciones del origen de los fondos durante los depósitos y retiros pueden ser engorrosos, pero reducen el valor de las criptomonedas como vehículo de lavado, lo que a su vez reduce ligeramente el incentivo financiero para los hackeos.

Vídeo: Dentro de los mayores hacks de criptomonedas

Un resumen visual de los mayores robos de criptomonedas y cómo se llevaron a cabo.

Preguntas frecuentes