El abril de $606M de DeFi: Por qué el peor mes de hackeos de 2026 no se trata de contratos inteligentes
En los primeros 18 días de abril de 2026, los atacantes drenaron más de 1.5 mil millones en febrero de 2025, y el período más perjudicial para DeFi específicamente desde la era de los exploits de puentes de 2022.
Pero a diferencia de 2022, casi nada de esto fue causado por un error de contrato inteligente.
El drenaje del puente de Kelp DAO ( 285M) y el robo de AWS de Resolv Labs a finales de marzo ($ 25M) comparten un hilo común más silencioso y persistente: todos fueron posibles gracias a cambios que el equipo de un protocolo realizó en sus propios supuestos de confianza — una configuración por defecto, una migración de gobernanza prefirmada, una única clave en la nube — que ningún auditor de contratos inteligentes tenía motivos para señalar. Abril de 2026 no es una historia sobre Solidity. Es una historia sobre las costuras operativas entre el código, la infraestructura y la gobernanza, y lo que sucede cuando la "actualización" se convierte en la nueva superficie de ataque.
Un mes peor que el primer trimestre, comprimido en 18 días
Para apreciar cuán anómalo ha sido abril, hay que desglosar las cifras.
CertiK estimó las pérdidas totales del primer trimestre de 2026 en aproximadamente 370M de enero (el peor mes en 11 meses en ese momento). Febrero de 2026 se enfrió a unos 52 millones en 20 incidentes distintos, lo que llevó a PeckShield a advertir sobre un "contagio en las sombras" a medida que surgían patrones de ataques repetidos en plataformas DeFi más pequeñas.
Luego, el 1 de abril de 2026 — el Día de los Inocentes — comenzó con el exploit de Drift, el hack más grande del año en ese momento. Dieciocho días después, el drenaje de Kelp DAO lo superó. Juntos, esos dos incidentes por sí solos superan los 606M en aproximadamente medio mes.
Para ponerlo en contexto, Chainalysis reportó $ 3.4 mil millones en robos cripto totales para todo el año 2025, con la mayor parte concentrada en la brecha de Bybit. El ritmo de abril de 2026, si se mantuviera, superaría fácilmente esa marca antes de fin de año. La amenaza no ha crecido en volumen — ha crecido en concentración y en la sofisticación de los atacantes.
Tres hacks, tres modos de fallo categóricamente diferentes
Lo que hace que la racha de abril sea analíticamente interesante — y no solo desoladora — es que los tres incidentes principales se corresponden claramente con tres clases de ataque distintas. Cada uno apunta a una capa diferente del stack, y cada uno es una clase de fallo que los auditores tradicionales de contratos inteligentes no están encargados de detectar.
Clase 1: La configuración del puente como el nuevo punto único de falla (Kelp DAO, $ 292M)
El 18 de abril, un atacante drenó 116,500 rsETH — aproximadamente $ 292 millones — del puente de Kelp DAO impulsado por LayerZero. La técnica, según fue reconstruida por CoinDesk y el propio equipo forense de LayerZero, no explotó un bug de Solidity. Explotó una decisión de configuración.
El puente de Kelp utilizaba una configuración de verificador único (DVN 1 de 1). Los atacantes comprometieron dos nodos RPC que servían a ese verificador, utilizaron un DDoS coordinado para forzar al verificador a una conmutación por error (failover) y luego utilizaron los nodos comprometidos para atestiguar que había llegado un mensaje malicioso entre cadenas. El puente liberó los rsETH siguiendo las instrucciones. LayerZero atribuyó la operación al Grupo Lazarus de Corea del Norte.
Lo que siguió fue una guerra pública de acusaciones que revela cuán frágil se ha vuelto la capa operativa. LayerZero argumentó que se le había advertido a Kelp que utilizara una configuración de múltiples verificadores. Kelp replicó que el modelo DVN 1 de 1 era el predeterminado en la propia documentación de despliegue de LayerZero para nuevas integraciones de OFT. Ambas posiciones son, técnicamente, ciertas. El punto de fondo es que ninguna firma de auditoría — Certik, OpenZeppelin, Trail of Bits — comercializa una revisión de "¿es apropiada su configuración de DVN en la capa de mensajería para el valor que pretende transferir?". Esa conversación ocurre en un canal de Slack entre dos equipos, no en un entregable oficial.
Clase 2: Autorizaciones de gobernanza prefirmadas como puertas traseras latentes (Drift, $ 285M)
El 1 de abril, Drift Protocol — el DEX de perpetuos más grande de Solana — fue drenado de aproximadamente $ 285 millones en doce minutos. El ataque encadenó tres vectores:
- Un objetivo de oráculo falso. El atacante emitió ~ 750 millones de unidades de un token falso "CarbonVote Token" (CVT), inyectó un pequeño pool de ~ 1 para fabricar un historial de precios.
- Ingestión del oráculo. Con el tiempo, ese precio fabricado fue captado por los feeds de los oráculos, haciendo que CVT pareciera un activo cotizado legítimo.
- Acceso privilegiado. De manera más perjudicial, el atacante había utilizado previamente ingeniería social con los firmantes de la multifirma (multisig) de Drift para que prefirmaran autorizaciones ocultas, y una migración del Consejo de Seguridad sin bloqueo de tiempo (zero-timelock) eliminó la última defensa de retraso del protocolo.
Con la posición de colateral inflada aprobada contra el oráculo manipulado, el atacante ejecutó 31 retiros rápidos a través de USDC, JLP y otras reservas antes de que cualquier monitoreo on-chain pudiera activarse.
Dos detalles merecen énfasis. Primero, tanto Elliptic como TRM Labs atribuyen Drift a Lazarus, lo que lo convierte en el segundo compromiso de DeFi a nivel de estado-nación en dieciocho días. Segundo, el protocolo no falló — falló su estructura de gobernanza. Los contratos inteligentes se comportaron exactamente como estaban configurados. La vulnerabilidad residía en la ingeniería social sumada a una actualización de gobernanza que eliminó el timelock.
La respuesta de la Fundación Solana fue reveladora: anunció una revisión integral de seguridad a los pocos días, enmarcando explícitamente el incidente como un problema de coordinación entre los protocolos y el ecosistema, en lugar de un error del protocolo Solana. Ese enfoque es correcto. También es una admisión de que el perímetro de seguridad se ha desplazado.
Clase 3: Una única clave en la nube que respalda una stablecoin de quinientos millones de dólares (Resolv, $25 M)
El incidente de Resolv Labs el 22 de marzo es el más pequeño de los tres en términos de dólares, pero el más instructivo estructuralmente. Un atacante que obtuvo acceso al entorno del AWS Key Management Service (KMS) de Resolv Labs utilizó la clave de firma privilegiada SERVICE_ROLE para mintear 80 millones de stablecoins USR sin respaldo a partir de aproximadamente $100,000 – $200,000 en depósitos reales de USDC. Tiempo total de retiro: 17 minutos.
La vulnerabilidad no estaba en los contratos inteligentes de Resolv; estos superaron las auditorías. El problema fue que el rol de minteo privilegiado era una única cuenta de propiedad externa (EOA), no una multisig, y su clave residía detrás de una sola cuenta de AWS. Como lo expresó Chainalysis, "un protocolo con $500 M de TVL tenía una única clave privada que controlaba el minteo ilimitado". Si el vector de brecha original fue phishing, una política IAM mal configurada, una credencial de desarrollador comprometida o un ataque a la cadena de suministro, sigue sin revelarse, y esa ambigüedad es, en sí misma, el punto clave. La superficie de ataque del protocolo era su perímetro de DevOps.
El hilo conductor: Actualizaciones sin revisión de Red-Team
Los puentes, los oráculos y las claves de firma gestionadas en la nube parecen superficies muy diferentes. Pero cada uno de los incidentes de abril se remonta al mismo patrón operativo: un equipo realizó una actualización (upgrade) — en una configuración, un proceso de gobernanza o una elección de infraestructura — que alteró los supuestos de confianza del protocolo, y ningún proceso de revisión estaba estructurado para detectar el nuevo supuesto.
Kelp actualizó a una configuración DVN predeterminada que LayerZero documentó pero no sometió a pruebas de estrés frente a $300 M de liquidez. Drift actualizó la gobernanza de su Consejo de Seguridad para eliminar los timelocks, eliminando el retraso mismo que habría sacado a la luz las autorizaciones obtenidas mediante ingeniería social. Resolv operacionalizó un rol de minteo privilegiado en una sola clave como parte de su DevOps normal en la nube.
Esta es precisamente la razón por la que OWASP añadió "Vulnerabilidades de Proxy y Actualizabilidad" (SC10) como una entrada completamente nueva en su Top 10 de Contratos Inteligentes de 2026. El marco de trabajo finalmente se está poniendo al día con respecto a donde los atacantes ya se han movido. Pero las reglas de OWASP no se ejecutan solas; requieren una revisión humana para la que la mayoría de los protocolos aún no destinan presupuesto, porque la narrativa de seguridad dominante sigue siendo "fuimos auditados".
Esa narrativa es ahora demostrablemente insuficiente. Tres de los mayores incidentes de 2026 superaron las auditorías de contratos inteligentes. La brecha estaba en otra parte.
El éxodo de capital de $13 B y el coste real de la confianza modular
El daño económico se expande mucho más allá de los fondos robados. A las 48 horas del drenaje de Kelp, el TVL de Aave cayó aproximadamente $8.45 mil millones, y el sector DeFi en general perdió más de $13.2 mil millones. El token AAVE cayó entre un 16 % y un 20 %. SparkLend, Fluid y Morpho congelaron los mercados relacionados con rsETH. SparkLend, quizás siendo el más beneficiado de la rotación, capturó aproximadamente $668 millones en nuevo TVL neto mientras los usuarios buscaban plataformas con perfiles de colateral más simples.
Vale la pena nombrar explícitamente el mecanismo detrás del contagio. Después de drenar el puente de Kelp, el atacante tomó el rsETH robado, lo depositó como colateral en Aave V3 y pidió prestado contra él, dejando aproximadamente $196 millones en deuda incobrable concentrada en un solo par rsETH / wrapped-ether. Ninguna de las plataformas de préstamo que aceptaban rsETH como colateral podía ver — debido a cómo se compone el ecosistema DeFi modular — que su respaldo de colateral dependía de un puente LayerZero de verificador único con un modo de falla de 1 de 1. Cuando el puente cayó, todas las plataformas quedaron expuestas simultáneamente al mismo agujero.
Este es el problema del acoplamiento invisible en el corazón de la composabilidad de DeFi. Cada protocolo audita sus propios contratos. Casi ningún protocolo audita los supuestos operativos de los protocolos cuyos tokens acepta como colateral. La cascada de abril de 2026 hizo que esa brecha fuera evidente para cada oficial de riesgo en cada mesa institucional que actualmente evalúa la integración con DeFi.
Qué sigue: De la auditoría a la revisión operativa continua
Si hay una lectura constructiva de la racha de abril, es que hace inevitable la siguiente fase de inversión en seguridad DeFi. Tres cambios ya son visibles:
1. La divulgación de la configuración del puente como requisito básico. Se espera que los protocolos de liquid restaking y cross-chain comiencen a publicar — y actualizar — configuraciones explícitas de DVN, reglas de respaldo (fallback) y umbrales de verificadores, de la misma manera que se publica hoy el código fuente de los contratos inteligentes. La configuración como un artefacto de divulgación de primer nivel es algo que ya debería haber ocurrido.
2. El timelock como un estándar de gobernanza no negociable. El análisis de la industria sitúa sistemáticamente el retraso mínimo práctico para las migraciones de gobernanza en 48 horas, tiempo suficiente para que los sistemas de monitoreo detecten anomalías y para que los usuarios retiren fondos. El exploit de Drift probablemente hará que las migraciones con timelock cero sean profesionalmente indefendibles para el tercer trimestre.
3. Custodia de claves privilegiadas bajo computación multipartita (MPC) formal o controles HSM. El rol de minteo de una sola EOA de Resolv es ahora una historia de advertencia para la industria. Los protocolos que ostentan autoridad de minteo deben esperar que sus LPs e integradores institucionales exijan, de forma predeterminada, esquemas de firma de umbral o custodia de claves aislada por hardware.
El cambio estructural más profundo es que la "auditoría" como un entregable único está siendo reemplazada por una revisión operativa continua: una evaluación constante de las configuraciones, los cambios de gobernanza y las dependencias de infraestructura que evolucionan más rápido de lo que cualquier cadencia de auditoría anual puede rastrear. Los protocolos que internalicen esto más rápido absorberán el capital institucional que, en este momento, está al margen esperando a que se liquide la deuda incobrable.
La superficie de confianza se ha desplazado
Abril de 2026 no trajo una nueva clase de exploit, sino que más bien confirmó que las defensas antiguas están apuntando al perímetro equivocado. Las auditorías de contratos inteligentes siguen siendo necesarias; sin embargo, no son ni remotamente suficientes. La superficie de confianza en DeFi se ha expandido hacia las configuraciones de puentes, el entramado de gobernanza y las claves gestionadas en la nube — y adversarios con la paciencia y los recursos de actores respaldados por estados están ahora trabajando sistemáticamente en ese perímetro.
Los protocolos que ganarán la próxima ola de integración institucional son aquellos que tratan su postura operativa con el mismo rigor que una vez reservaron para su código de Solidity. Los equipos que todavía señalan un PDF de auditoría de hace un año como su argumento de seguridad son, cada vez más, los equipos que están a punto de protagonizar los titulares del próximo mes.
BlockEden.xyz proporciona infraestructura de RPC e indexación de grado empresarial para desarrolladores que necesitan que sus dependencias sean la parte predecible de su stack. Explore nuestro marketplace de API para construir sobre bases diseñadas para el rigor operativo que exige el 2026.