Hola a todos, cuando tu código está perfectamente escrito, y ni siquiera las principales empresas de auditoría pueden encontrar fallos, ¿pueden los hackers llevarse tu dinero?
La respuesta es: sí, y se llevaron más de 1,000,000,000 dólares.
Si solo miras los titulares de la industria, el Web3 de 2025 parece haber presentado un impresionante informe: RWA (tokenización de activos del mundo real) avanza rápidamente, las instituciones tradicionales de Wall Street entran en profundidad, y el volumen de bloqueo de DeFi (finanzas descentralizadas) alcanza nuevos máximos.
Pero detrás de estas flores y aplausos, una crisis se está extendiendo silenciosamente. Según estadísticas, las pérdidas totales sufridas por los principales protocolos de blockchain alcanzarán los 3,400,000,000 dólares en 2025.
Y lo más aterrador es que más de 1,000 millones de dólares desaparecieron en esos errores invisibles.
Estas vulnerabilidades que causan enormes pérdidas no son errores de código en el sentido tradicional, y no aparecerán en informes de auditoría de seguridad convencionales. Justo un segundo antes de que el sistema sea vaciado, parece que todo está en orden.
Desde el punto de partida de 2026, debemos revisar estos "cinco agujeros negros invisibles" que existen en la lógica, la infraestructura y las fallas humanas. Porque en Web3, la seguridad ya no es un sello que se pone antes de lanzarse, sino un juego interminable de gato y ratón.
Agujero negro uno: cuando el código funciona a la perfección, pero la lógica económica colapsa por completo.
En 2025, vimos un fenómeno extremadamente extraño: algunos contratos inteligentes que causaron enormes pérdidas tenían su código "completamente correcto" a nivel técnico. El código se compiló sin problemas, pasó las pruebas a la perfección e incluso recibió la máxima puntuación en auditoría de seguridad.
Pero se han declarado en quiebra en términos de "lógica económica".
Un caso representativo es el ataque que sufrió el protocolo Cetus. Los hackers aprovecharon el mecanismo de "operaciones de desplazamiento (Bitwise Shift)" en el sistema, drenando instantáneamente 223 millones de dólares. Durante este proceso, el sistema no reportó ningún error técnico, el código "ejecutó extremadamente lealmente" la lógica de cálculo escrita por los desarrolladores. La verdadera tragedia es que el comportamiento del código escrito por los desarrolladores contradecía el sentido común financiero que el sistema debería seguir.
💡 【Análisis】Fallo en la lógica económica: hay una regla de hierro en el mundo financiero: "el agua que sale de una piscina nunca puede ser más que el agua que entra". Sin embargo, muchos desarrolladores de protocolos solo se enfocan en si "las tuberías están conectadas correctamente (el código funciona)" y no han forzado un candado en la fuente para verificar los libros contables. Los hackers utilizaron fórmulas matemáticas complejas o situaciones extremas para "engañar" legalmente al contrato inteligente, logrando el efecto de "hacer una jugada maestra".
La forma de romper el estancamiento: los equipos de élite ya no creen ciegamente que "el código no tiene errores". Han comenzado a introducir **"comprobaciones de invarianza (Invariant Checks)"** en los contratos inteligentes: sin importar cuán complejas sean las operaciones intermedias, al final de cada transacción, el sistema debe verificar automáticamente los libros contables. Si se descubre que "el valor que sale > el valor que posee el sistema", se corta inmediatamente, y la transacción se invalida.
Agujero negro dos: eludir la bóveda y "secuestrar" directamente la puerta.
Si romper una bóveda en cadena bien defendida (contrato inteligente) es demasiado difícil, ¿qué harían los hackers? Muy simple, eligen cambiar el cartel que indica la puerta de la bóveda.
En 2025, los atacantes dirigieron su atención hacia las "infraestructuras periféricas" que fueron ignoradas por el proyecto: páginas web front-end, registradores de dominios y sistemas de cuentas.
En los ataques dirigidos a protocolos líderes como Aerodrome Finance, los hackers no tocaron los contratos subyacentes, sino que secuestraron directamente el dominio del sitio web del proyecto. Los usuarios abrieron el sitio web familiar como de costumbre, la interfaz era idéntica y el proceso muy fluido. Pero cuando los usuarios hicieron clic en el botón "Autorizar (Approve)", en realidad estaban transfiriendo fondos a la dirección maliciosa de los hackers.
💡 【Análisis】Secuestro en el front-end y phishing de autorización: la base de la blockchain es extremadamente segura, pero los usuarios comunes no entienden el código y solo pueden interactuar con la blockchain a través de páginas web (UI). Si los hackers controlan la página web, pueden sembrar trampas bajo los botones del front-end. Es como si la bóveda del banco siguiera siendo sólida, pero el gerente de la sala fue reemplazado por un criminal, que directamente depositó el dinero de los depositantes en la cuenta del criminal.
La forma de romper el estancamiento: los proyectos a menudo gastan el 99% de su presupuesto en auditorías de contratos inteligentes, pero no están dispuestos a gastar el 1% para reforzar los permisos de dominio. En el futuro, el sistema de seguridad debe dar la misma prioridad a la supervisión de la integridad del front-end del sitio web y a los servicios de dominio, como lo hace con la seguridad en la cadena.
Agujero negro tres: datos correctos también pueden convertirse en un cuchillo asesino (retraso del oráculo).
💡 【Análisis】Oráculo: la blockchain en sí misma es un sistema cerrado que no puede conectarse a la red, no sabe cuánto vale un bitcoin en el mundo real. El oráculo es como un "transportador de datos", encargado de alimentar los precios en tiempo real del exterior al sistema DeFi en la cadena.
Muchos proyectos tienen una suposición extremadamente ingenua: mientras los datos proporcionados por el oráculo sean verdaderos, el sistema es seguro. Pero las lecciones sangrientas de 2025 nos dicen: en el mercado financiero, la verdad tardía es una calamidad.
Si debido a la congestión de la red o a la configuración del mecanismo, el precio del oráculo es solo 10 segundos más lento que el mercado real, esos 10 segundos abrirán un enorme hueco de arbitraje entre el "precio en cadena" y el "valor real".
Algunos protocolos que manejan RWA (tokenización de activos reales) y préstamos de alta frecuencia sufrieron graves daños. El sistema funcionaba perfectamente, los datos eran legítimos y legales, pero los hackers aprovecharon esa pequeña "diferencia de tiempo" para llevarse locamente los activos de alto valor del sistema a precios obsoletos.
La forma de romper el estancamiento: no solo debemos verificar la "veracidad" de los datos, sino también verificar la "frescura (Data Staleness)" de los datos. Durante períodos de alta volatilidad de precios, cualquier dato que supere el tiempo de tolerancia establecido debe activar una pausa en el sistema.
Agujero negro cuatro: la caja de seguridad de múltiples firmas engañosa.
💡 【Análisis】Firma múltiple (Multisig): para prevenir fallas de punto único, los proyectos suelen establecer una billetera multisig. Por ejemplo, se requiere que de 5 altos ejecutivos, al menos 3 personas firmen con la clave privada para poder usar los fondos del tesoro.
La gente suele pensar que usar múltiples firmas es infalible. Pero a menudo es una "actuación de seguridad" engañosa.
En un importante incidente en 2025, los hackers no se apresuraron a tomar el dinero después de infiltrarse. Se ocultaron en el sistema como fantasmas, observando los horarios de los ejecutivos y entendiendo los patrones de aprobación, para finalmente lanzar un ataque mortal en el momento más perfecto.
¿Por qué no se puede prevenir con múltiples firmas?
Porque en la práctica, estos 5 altos ejecutivos que controlan las claves privadas pueden estar conectados a la misma WiFi de la empresa, usando el mismo gestor de contraseñas de la misma marca, o incluso guardando el archivo de claves privadas en el mismo servidor en la nube. En papel, el poder es descentralizado; pero a nivel físico, pueden ser eliminados por los hackers de un solo golpe.
Agujero negro cinco: la cadena de suministro de código abierto envenenada.
El desarrollo moderno de Web3 depende en gran medida de bibliotecas de código abierto (como paquetes NPM o componentes de GitHub). Es como construir una casa comprando directamente paneles prefabricados, lo que aumenta enormemente la eficiencia del desarrollo.
Pero esto significa que has entregado tu espalda a un programador que no conoces en absoluto.
Los hackers ya no atacan directamente a los proyectos estrella en alerta, sino que se vuelven hacia las herramientas de código abierto subyacentes que son ampliamente citadas, insertando silenciosamente código malicioso en ellas. El equipo de desarrollo hizo clic en "actualizar paquetes dependientes" como de costumbre, sin saber que el caballo de Troya ya se había infiltrado en su sistema. En la fase de prueba, todo estaba disfrazado muy bien; pero una vez desplegado en la red principal, el caballo de Troya se activa instantáneamente.
Este **"envenenamiento de la cadena de suministro"** es extremadamente difícil de prevenir, porque cuando el problema se expone, a menudo ya está hecho.
Conclusión: abandonar la visión de seguridad estática y avanzar hacia una defensa dinámica.
La lección de mil millones de dólares en 2025, lo más doloroso es que la gran mayoría de ellas podrían haberse evitado.
Lo que causa la calamidad no son técnicas de hackers extremadamente sofisticadas, sino un parámetro de verificación olvidado en el desarrollo diario, un plugin de terceros que no se ha actualizado durante mucho tiempo, o una configuración de permisos excesivamente confiada.
Un error que parece insignificante, acumulado, se convierte en un tsunami financiero que drena decenas de miles de millones.
Al entrar en 2026, los equipos de élite que realmente puedan sobrevivir en el bosque oscuro deben cambiar completamente su mentalidad: la seguridad no es un simple informe de auditoría que compras antes de lanzarte. Es un ADN que recorre todo el ciclo de vida del proyecto: desde el aislamiento extremadamente riguroso de permisos de acceso, la supervisión ininterrumpida de flujos de fondos anómalos las 24 horas, hasta un "mecanismo de corte de emergencia" que puede bloquear fondos instantáneamente en condiciones extremas.
En el mundo de Web3, el enemigo más mortal nunca son aquellos cañones evidentes, sino aquellos "puntos ciegos" que consideras "evidentes".
⚠️ 【Descargo de responsabilidad】El contenido de este artículo es solo un desglose del modelo de negocio y una compartición de conocimientos técnicos, los datos provienen de la red. No constituye ningún consejo de inversión u operación y no asume responsabilidad por la veracidad de los datos. Por favor, investigue de forma independiente y tome decisiones con precaución.
🌹 Si te gusta este análisis profundo, ¡no dudes en dar un me gusta, seguir, comentar y compartir! Tu apoyo es nuestra mayor motivación para seguir produciendo.
