Principales hackeos de criptos de 2025: incidentes que expusieron los puntos débiles de la industria

2025 fue un gran año para la industria cripto, pero resultó ser un arma de doble filo al observar el panorama general.

Por un lado, la industria maduró en términos de adopción institucional, con un número récord de fusiones y adquisiciones.

Hubo 267 acuerdos por un total de $8.6 mil millones, lo que lo convirtió en un año rentable para quienes se posicionaron del lado correcto de la operación. 

Por otro lado, las pérdidas por hackeos y exploits alcanzaron un máximo histórico, exponiendo cuánto le queda por avanzar al espacio en el frente de seguridad.

Datos de empresas de seguridad como SlowMist y CertiK reportaron que el número de incidentes de seguridad cayó un 50% interanual, de más de 400 en 2024 a aproximadamente 200 en 2025. 

Pero la magnitud de las pérdidas financieras cuenta una historia diferente. Los fondos robados totales aumentaron un 55% en comparación con el año anterior, alcanzando más de $3.4 mil millones.

Aunque la higiene básica de seguridad, como las Auditorías de contratos inteligentes rutinarias y la detección automatizada de errores, está eliminando con éxito los objetivos fáciles que solían atacar los hackers aficionados, la naturaleza de los ataques ha cambiado fundamentalmente.

Los atacantes modernos ya no lanzan una red amplia buscando pequeñas vulnerabilidades de protocolos.

En cambio, grupos profesionalizados, especialmente el Grupo Lazarus norcoreano, pasan meses en reconocimiento e infiltración de infraestructura para ejecutar ataques únicos y catastróficos.

La industria ahora enfrenta una crisis de calidad sobre cantidad, donde tienen lugar menos ataques, pero los que ocurren son mucho más dañinos.

Al comenzar 2026, aquí hay un repaso de cuatro de los mayores incidentes de seguridad de 2025, que expusieron muchos de los puntos débiles de la industria.

Bybit Exchange: $1.5 mil millones

El mayor incidente del año se desarrolló en el exchange de criptos con sede en Dubái Bybit, que se convirtió en el robo confirmado más grande jamás vinculado al Grupo Lazarus respaldado por el estado de Corea del Norte.

Los atacantes pasaron meses construyendo confianza con un desarrollador en Safe{Wallet}, un proveedor líder de infraestructura multifirma, antes de lograr introducir un proyecto Docker malicioso que estableció silenciosamente una puerta trasera persistente.

Una vez dentro, los atacantes inyectaron JavaScript malicioso en el código frontend de la interfaz de billetera Safe utilizada por el equipo de firma interno de Bybit.

Cuando los ejecutivos de Bybit iniciaron sesión para firmar lo que parecían ser transacciones internas rutinarias, la interfaz de usuario mostraba direcciones de billetera y cantidades correctas.

Sin embargo, a nivel de código, la Dirección de transferencia de destino fue intercambiada silenciosamente por billeteras controladas por los atacantes.

Aproximadamente $1.46 mil millones a $1.5 mil millones en ETH fueron drenados, impactando a un gran número de usuarios que quedaron expuestos a una de las fallas de seguridad más graves que la industria ha visto.

El incidente expuso un punto débil crítico de la industria en torno a la confianza en la interfaz de usuario, reforzando que las billeteras de hardware y los umbrales multifirma ofrecen poca protección si la capa de software que presenta los detalles de la transacción ha sido comprometida.

Ballena OG de Bitcoin: $330 millones

En abril, una ballena de Bitcoin de la era Satoshi que había mantenido sus monedas intactas durante más de una década se convirtió en víctima de un devastador ataque de ingeniería social que resultó en la pérdida de 3,520 BTC, valorados en aproximadamente $330.7 millones en ese momento.

El incidente quedó grabado en la historia como el robo individual más grande en la historia de la industria, según lo estableció el detective en cadena ZachXBT.

A diferencia de los ataques que se dirigen al código, este utilizó deepfakes impulsados por IA y clonación de voz para eludir las defensas psicológicas de la víctima durante un período de varios meses.

Los perpetradores, sospechosos de ser un sindicato organizado operando desde un sofisticado centro de llamadas en Camden, Reino Unido, usando alias como "Nina" y "Mo", construyeron una falsa sensación de seguridad con la víctima anciana al hacerse pasar por asesores legales y técnicos de confianza.

Eventualmente, los atacantes dirigieron a la víctima a un portal falso de "Verificación de seguridad" que imitaba el sitio de soporte oficial de un proveedor de billeteras conocido, donde la víctima fue manipulada para ingresar sus credenciales privadas o firmar una transacción específica en su dispositivo de hardware bajo el pretexto de una "actualización de cuenta". Los fondos fueron movidos instantáneamente.

Los fondos fueron rápidamente lavados a través de "cadenas de pelado" y convertidos en la moneda de privacidad Monero (XMR), causando un aumento de precio del 50% en Monero debido a la repentina y masiva demanda.

El incidente finalmente expuso la extrema vulnerabilidad de individuos de alto patrimonio que carecen de servicios de custodia de grado institucional, demostrando que ninguna cantidad de encriptación puede proteger los activos si la capa humana es efectivamente manipulada.

Exploit del Protocolo Cetus: $223 millones

El Protocolo Cetus, que es el exchange descentralizado más grande en la red Sui, fue explotado en mayo debido a una falla técnica en su lógica de Smart Contract.

El explotador identificó una falla aritmética crítica en una biblioteca matemática de código abierto compartida utilizada para cálculos de liquidez, lo que les permitió drenar aproximadamente $223 millones en activos de liquidez.

Específicamente, la función fue diseñada para escalar de manera segura números de punto fijo desplazándolos a la izquierda 64 bits.

Sin embargo, contenía un error lógico en su verificación de desbordamiento. La comparación utilizó una máscara demasiado grande, que permitió desplazamientos bit a bit que deberían haber sido rechazados.

Al usar un préstamo flash para crear una posición de Proveedor de liquidez con un rango de tick extremadamente estrecho, el atacante desencadenó un desbordamiento aritmético, más precisamente una truncación bit a bit, que hizo que el contrato calculara un depósito requerido de solo 1 unidad de un token mientras aún acreditaba al atacante con liquidez masiva.

El atacante luego simplemente retiró la liquidez, reclamando las reservas reales del pool basándose en la contabilidad falsamente inflada.

Aunque los validadores de Sui lograron coordinar una congelación de emergencia de $162 millones de los activos antes de que pudieran ser transferidos, la pérdida neta aún se mantuvo como una de las más grandes en 2025.

Demostró al ecosistema de finanzas descentralizadas que los lenguajes modernos orientados a la seguridad como Move no son inherentemente inmunes a errores matemáticos, y reforzó que el rigor matemático sigue siendo un requisito innegociable en el diseño de protocolos.

Balancer V2: $128 millones

Balancer sufrió un sofisticado exploit de ingeniería económica a través de múltiples cadenas (Ethereum, Arbitrum y Base) en noviembre, cuando un atacante logró aprovechar una pequeña discrepancia en cómo el protocolo manejaba el redondeo de precisión durante los intercambios internos.

Los Composable Stable Pools de Balancer utilizaron diferentes direcciones de redondeo para aumentar y reducir las cantidades de tokens para proteger el Invariante del protocolo, que sirve como ancla matemática para el algoritmo StableSwap, asegurando que el pool mantenga un valor total constante y equilibrio durante los intercambios de activos.

El atacante descubrió que al empujar los saldos del pool a un rango específico de 8 a 9 Wei, podían causar que la división de enteros perdiera hasta el 10% del valor a través de errores de redondeo hacia abajo.

Posteriormente, usando un contrato automatizado, el atacante inició una sola transacción que contenía más de 65 micro-intercambios.

Cada intercambio recortaba repetidamente unos pocos Wei de valor, acumulando la pérdida de precisión hasta que la contabilidad interna del pool estaba completamente distorsionada.

Como resultado, pudieron aprovechar la pérdida de precisión acumulada hasta que la contabilidad interna del pool estuvo completamente distorsionada, después de lo cual pudieron acuñar tokens LP a un precio reducido y canjearlos por su valor completo instantáneamente, extrayendo millones sin activar ninguna de las verificaciones de seguridad del protocolo.

El post Principales hackeos cripto de 2025: incidentes que expusieron los puntos débiles de la industria apareció primero en Invezz