70 publicaciones etiquetados con "Seguridad"

Cada billetera de Ethereum, firma de validador y prueba de conocimiento cero se apoya en el mismo supuesto matemático: que factorizar números grandes y resolver logaritmos discretos es impracticable para cualquier computadora. Las máquinas cuánticas eventualmente destruirán ese supuesto. Cuando lo hagan, aproximadamente el 25% de todo el Bitcoin por valor — y una parte comparable de Ethereum — podría quedar expuesto en una sola tarde.

La Fundación Ethereum no está esperando a que llegue esa tarde. El 25 de marzo de 2026, lanzó pq.ethereum.org, un centro dedicado a la seguridad post-cuántica que consolida años de investigación en una única hoja de ruta ejecutable. Más de 10 equipos de clientes ya están ejecutando redes de desarrollo (devnets) de interoperabilidad semanales, y la fecha objetivo para las actualizaciones centrales de la Capa 1 es 2029.

Esta es la migración criptográfica más ambiciosa que cualquier red descentralizada haya intentado jamás — y ya está en marcha.

La línea de código más cara en la historia de las criptomonedas no fue un error. Fue un enlace de phishing.

En febrero de 2025, un desarrollador de Safe{Wallet} hizo clic en lo que parecía ser un mensaje rutinario. En cuestión de horas, operativos norcoreanos habían secuestrado tokens de sesión de AWS, eludido la autenticación multifactor y drenado $1.5 mil millones de Bybit — el robo individual más grande en la historia de las criptomonedas. No se explotó ninguna vulnerabilidad de contrato inteligente. Ninguna lógica on-chain falló. El código estaba bien. Los humanos no.

El Informe sobre Criptocrimen 2026 de TRM Labs confirma lo que aquel atraco presagiaba: la era del exploit de contratos inteligentes como la principal vía de amenaza cripto ha terminado. Los adversarios han "subido en la pila", abandonando la búsqueda de nuevas vulnerabilidades de código en favor de comprometer la infraestructura operativa — claves, billeteras, firmantes y planos de control en la nube — que rodea a protocolos que, de otro modo, serían seguros.

¿Qué pasaría si pudieras demostrar que ganas más de 100 000 $ al año, que posees un pasaporte válido o que tienes una puntuación crediticia FICO de 800, todo sin mostrar un solo documento? Esa es la promesa de zkTLS, y en 2026, está pasando rápidamente de la teoría criptográfica a la infraestructura de producción.

Zero-Knowledge Transport Layer Security (zkTLS) amplía el protocolo de cifrado que ya protege casi todos los sitios web que visitas. En lugar de limitarse a proteger los datos en tránsito, zkTLS genera pruebas matemáticas de que datos específicos provienen de una fuente verificada, sin exponer nunca la información subyacente. El resultado es un puente entre las bóvedas cerradas de datos de la Web2 y el mundo componible y sin permisos de la Web3.

Una sola verificación de autorización faltante. Diecisiete días sin ser detectada. Setenta y ocho NFTs de primer nivel (blue-chip) — incluyendo piezas de Art Blocks, Doodles y Beeple — fueron drenados de carteras que nunca iniciaron una transacción. El exploit de Gondi del 9 de marzo de 2026 es una clase magistral sobre cómo las "funciones de conveniencia" pueden convertirse en superficies de ataque, y por qué el sector de préstamos de NFTs enfrenta desafíos de seguridad que las DeFi de tokens fungibles nunca tuvieron que confrontar.

El 12 de marzo de 2026, una sola transacción de Ethereum convirtió 50,4 millones de dólares en USDT en 327 tokens AAVE con un valor aproximado de 36.000 dólares. La pérdida no fue causada por un hackeo, un exploit o un error en un contrato inteligente. Todos los protocolos involucrados — Aave, CoW Swap, SushiSwap — funcionaron exactamente según lo diseñado. El usuario confirmó una advertencia de impacto en el precio del 99,9 % en un dispositivo móvil, marcó una casilla y vio cómo casi cincuenta millones de dólares se evaporaban en bots de MEV en menos de treinta segundos.

Este incidente es el fallo de UX más costoso en la historia de las DeFi y obliga a plantearse una pregunta incómoda: si los sistemas sin permisos (permissionless) que "funcionan según lo diseñado" pueden destruir tanto valor, ¿quién es responsable de evitarlo?

Ocho wei. Eso es aproximadamente 0.000000000000000008 de un token — una cantidad tan pequeña que no tiene un valor significativo en dólares. Sin embargo, el 3 de noviembre de 2025, un atacante convirtió errores de redondeo a esa escala en 128 millones de dólares en activos robados, vaciando los Composable Stable Pools de Balancer en nueve blockchains en menos de treinta minutos.

El exploit de Balancer V2 es ahora el mayor exploit DeFi multi-cadena de una sola vulnerabilidad en la historia. Eliminó el 52% del valor total bloqueado (TVL) de Balancer de la noche a la mañana, sobrevivió a más de diez auditorías de seguridad de las principales firmas de la industria y obligó a una cadena — Berachain — a ejecutar un hard fork de emergencia solo para recuperar los fondos. ¿La vulnerabilidad? Una sola línea de código que redondeaba en la dirección incorrecta.

Tomó menos de una hora. El 31 de enero de 2026, un atacante descubrió que una sola función de contrato inteligente en la infraestructura de puente de CrossCurve carecía de una verificación de validación crítica — y drenó sistemáticamente $ 3 millones a través de Ethereum, Arbitrum y otras redes antes de que nadie pudiera reaccionar. Sin sofisticados ataques de día cero. Sin compromiso de claves internas. Solo un mensaje fabricado y una llamada a una función que cualquiera en la blockchain podría realizar.

El incidente de CrossCurve es un crudo recordatorio de que los puentes cross-chain siguen siendo la superficie de ataque más peligrosa en las finanzas descentralizadas — y que incluso los protocolos que presumen de arquitecturas de seguridad de múltiples capas pueden colapsar cuando un solo contrato falla.

Los agentes de IA que pueden comerciar tokens de forma autónoma, reequilibrar posiciones DeFi y pagar por su propia computación suenan revolucionarios — hasta que uno recibe una inyección de prompts para enviar los ahorros de toda tu vida a un atacante. El marco de seguridad MCP Web3 recientemente publicado por Google Cloud aborda exactamente esta pesadilla, presentando un plan de nivel empresarial para asegurar a los agentes del Protocolo de Contexto de Modelo (MCP) que interactúan con las blockchains.

Aquí está lo que recomienda el marco, por qué es importante y cómo se compara con los enfoques de la competencia de Coinbase, Ledger y el estándar de pago emergente x402.

Una auditoría de seguridad señaló el vector de ataque exacto meses antes. El equipo lo descartó. El domingo, un atacante se llevó 3,7 millones de $.

Venus Protocol, la plataforma de préstamos dominante en BNB Chain con aproximadamente 1.470 millones de $en valor total bloqueado, sufrió un devastador exploit de manipulación de precios el 15 de marzo de 2026. El atacante apuntó a THE — el token nativo del exchange descentralizado Thena —, inflando su precio de 0,27$ a casi 5 $mediante un ciclo cuidadosamente orquestado de depósitos, préstamos y compras. El resultado: más de 3,7 millones de$ drenados en BTC, CAKE, USDC y BNB, con aproximadamente 2,15 millones de $ persistiendo como deuda incobrable irrecuperable.

Lo que hace que este ataque sea notable no es solo su escala, sino la paciencia detrás de él — y el hecho de que la vulnerabilidad estaba escondida a plena vista.