40% de pérdidas por hack de cripto BUKAN por un smart contract. El problema está en la PRIVATE KEY. ¡Levántense, no sigan culpando a la blockchain!
Las pérdidas totales por hacks en la industria cripto ya superan los 16,69 mil millones de dólares. Lo que lo vuelve todavía más loco es que, aproximadamente, el 40% proviene de claves privadas que se filtraron o se robaron, no de que la blockchain se haya roto o de que el smart contract haya fallado. Todavía hay muchos que gritan: “El cripto es fácil de hackear”. Pero lo que suele fallar no es la criptografía de la blockchain; son las personas y los sistemas operativos.
La private key es como la llave de una caja fuerte. Quien la tenga, controla los activos. No existe un botón de “Olvidé la contraseña”, no hay CS, no hay un banco que pueda devolver el dinero. Si se pierde, se acabó.
Para colmo, muchos proyectos aún usan un modelo de 1 private key que controla todo. Si una persona cae en phishing, malware, un insider, un ataque de cadena de suministro (supply-chain) o se filtra la nube... listo. Se van activos de miles de millones de dólares.
El caso de Bybit en 2025 es un ejemplo brutal. No fue Ethereum lo que falló. No fue la blockchain la que falló. El atacante se infiltró en el software de un tercero, inyectó código malicioso y luego hizo que ejecutivos, sin darse cuenta, firmaran transacciones que drenaron alrededor de 1,5 mil millones de dólares.
El problema no es la matemática de la criptografía. El problema es la gente.
- La private key se guarda de forma descuidada.
- El servidor caliente (hot wallet) se vuelve un objetivo.
- La nube se filtra.
- Las dependencias del software se infiltran.
- Ingeniería social.
- Phishing.
- Insider.
- SOP de seguridad desordenadas.
La criptografía moderna hasta hoy no ha logrado ser quebrada. Lo que se ha quebrado es la forma en que los humanos gestionan sus llaves. Por suerte, la industria ya empieza a moverse:
- MPC (Multi-Party Computation) divide el proceso de firma para que no exista una private key íntegra que se pueda robar.
- Threshold Signing exige que varias partes aprueben una transacción.
- Account Abstraction introduce límites de transacción, listas blancas de direcciones, guardianes y un sistema de recuperación mucho más seguro.
- Los hardware wallets y las SOP de seguridad se empiezan a impulsar como estándar.
Pero todavía hay muchos proyectos que consideran la seguridad como un simple accesorio. El audit termina, y creen que son invulnerables. Mientras tanto, los hackers trabajan 24/7, buscando la grieta más pequeña.
Las pérdidas totales por hacks en la industria cripto ya superan los 16,69 mil millones de dólares. Lo que lo vuelve todavía más loco es que, aproximadamente, el 40% proviene de claves privadas que se filtraron o se robaron, no de que la blockchain se haya roto o de que el smart contract haya fallado. Todavía hay muchos que gritan: “El cripto es fácil de hackear”. Pero lo que suele fallar no es la criptografía de la blockchain; son las personas y los sistemas operativos.
La private key es como la llave de una caja fuerte. Quien la tenga, controla los activos. No existe un botón de “Olvidé la contraseña”, no hay CS, no hay un banco que pueda devolver el dinero. Si se pierde, se acabó.
Para colmo, muchos proyectos aún usan un modelo de 1 private key que controla todo. Si una persona cae en phishing, malware, un insider, un ataque de cadena de suministro (supply-chain) o se filtra la nube... listo. Se van activos de miles de millones de dólares.
El caso de Bybit en 2025 es un ejemplo brutal. No fue Ethereum lo que falló. No fue la blockchain la que falló. El atacante se infiltró en el software de un tercero, inyectó código malicioso y luego hizo que ejecutivos, sin darse cuenta, firmaran transacciones que drenaron alrededor de 1,5 mil millones de dólares.
El problema no es la matemática de la criptografía. El problema es la gente.
- La private key se guarda de forma descuidada.
- El servidor caliente (hot wallet) se vuelve un objetivo.
- La nube se filtra.
- Las dependencias del software se infiltran.
- Ingeniería social.
- Phishing.
- Insider.
- SOP de seguridad desordenadas.
La criptografía moderna hasta hoy no ha logrado ser quebrada. Lo que se ha quebrado es la forma en que los humanos gestionan sus llaves. Por suerte, la industria ya empieza a moverse:
- MPC (Multi-Party Computation) divide el proceso de firma para que no exista una private key íntegra que se pueda robar.
- Threshold Signing exige que varias partes aprueben una transacción.
- Account Abstraction introduce límites de transacción, listas blancas de direcciones, guardianes y un sistema de recuperación mucho más seguro.
- Los hardware wallets y las SOP de seguridad se empiezan a impulsar como estándar.
Pero todavía hay muchos proyectos que consideran la seguridad como un simple accesorio. El audit termina, y creen que son invulnerables. Mientras tanto, los hackers trabajan 24/7, buscando la grieta más pequeña.