Escrito por: Beosin
Según las estadísticas de datos de monitoreo de la plataforma Beosin Alert, en mayo de 2026, el monto total de pérdidas por diversos incidentes de seguridad fue de aproximadamente 76.15 millones de dólares, ocurriendo un total de "36" incidentes importantes de ataques de hackers, principalmente debido a vulnerabilidades en contratos y filtraciones de claves privadas. Entre ellos, hubo 17 incidentes de seguridad por vulnerabilidades en contratos/red, y 10 incidentes con daños por filtración de claves privadas, lo que representa un desafío severo para la seguridad del código y la seguridad operativa del ecosistema DeFi.
Top 10 protocolos con mayores pérdidas en mayo
El puente de interoperabilidad Verus-Ethereum Bridge, que conecta la cadena Verus L1 con Ethereum, fue atacado debido a una vulnerabilidad en el contrato, registrando la mayor pérdida de 11.58 millones de dólares. Echo Protocol, debido a una filtración de clave privada, fue atacado y el atacante acuñó 1000 eBTC (valor en papel de aproximadamente 76.7 millones de dólares), pero debido a limitaciones de liquidez, la ganancia real final fue de aproximadamente 5.13 millones de dólares.
Tipos de proyectos atacados y situación de pérdidas por cadena
Los objetivos atacados cubrieron varios tipos, incluyendo puentes de interoperabilidad, intercambios descentralizados, protocolos de préstamo, mercados de predicción, stablecoins, usuarios comunes, entre otros. Entre ellos, los puentes de interoperabilidad sufrieron las mayores pérdidas en monto, alcanzando los 27.995 millones, y los proyectos relacionados con DeFi fueron atacados la mayor cantidad de veces, registrando 14 incidentes.
La cadena con mayor monto de pérdidas en mayo fue Ethereum, con pérdidas superiores a 48.76 millones de dólares. Algunos puentes de interoperabilidad y la mayoría de los incidentes de seguridad en protocolos DeFi aún se centran principalmente en Ethereum. Le siguen BNB Chain, Monad, TON, y también ocurrieron incidentes de seguridad en Monero y Bitcoin, mostrando un panorama de ataques en cadena multinivel.
Análisis de los principales incidentes de seguridad
1. Verus: Defecto en la verificación de mensajes de interoperabilidad
El funcionamiento del Verus-Ethereum Bridge consiste en que el presentador proporciona datos probatorios que muestren que existe una salida válida notariada en la cadena Verus, y una vez que el contrato del puente verifica y aprueba, libera los activos en Ethereum. La vulnerabilidad radica en que el contrato del puente en el lado de Ethereum verifica la prueba proveniente de la cadena Verus, pero no valida si esos datos corresponden a una salida original válida, permitiendo que un atacante construya salidas falsas que pasen la verificación y extraiga fondos muy superiores a su depósito.
Parte del código con la vulnerabilidad:
La vulnerabilidad de este incidente pertenece a la misma categoría que la que causó pérdidas de 320 millones de dólares en Wormhole y 190 millones de dólares en Nomad en 2022: el puente verifica el mensaje en sí, pero no verifica el valor de los fondos subyacentes.
2. Trusted Volumes: Defecto en parámetros de firma
En este ataque, el atacante aprovechó un defecto en el diseño de firmas dentro del flujo de solicitud de cotización (RFQ) de TrustedVolumes. Al realizar la transferencia real, mediante datos de firma personalizados, configuró la parte que transfiere como el contrato Resolver de TrustedVolumes, pasando la verificación exitosamente, logrando así transferir los activos del contrato Resolver para obtener ganancias.
Parte del código con la vulnerabilidad:
La verificación de autorización hace referencia a varg4, mientras que la ejecución de la transferencia de fondos hace referencia a otros parámetros. La falta de validación conduce a que el campo del firmante autorizado y la dirección real de débito no coincidan.
Por lo tanto, el atacante solo necesita usar una dirección de firmante registrada para firmar un pedido, donde maker = Exploit (que pasa la verificación de firma), y otros parámetros de firma (token, monto) se pueden establecer en valores arbitrarios, por ejemplo, un pedido falso 1:1, para que pase la verificación de precio razonable del oráculo de precios, y luego retirar los activos del contrato del protocolo:
3. Incidentes de filtración de claves privadas, tomando StablR como ejemplo
En mayo ocurrieron múltiples incidentes de filtración de claves privadas, con un monto total de pérdidas superior a los 25 millones de dólares. Entre ellos, StablR, como emisor de stablecoins reguladas, se convirtió en una lección típica sobre seguridad y gobernanza en el campo de stablecoins y DeFi.
StablR lanzó dos productos de stablecoins reguladas: EURR y USDR. La billetera multisignatura que controla la acuñación de EURR es 0x8278D2881dBF8F6Fc01c98d196c4b16F1aade5Bc; la billetera multisignatura que controla la acuñación de USDR es 0xF45392bd2D6e6b8C5Dc26BA6c8a12889419B82F3.
Dado que para iniciar una transacción desde estas 2 billeteras multisignatura solo se requiere 1 firma, el atacante, al controlar la dirección propietaria 0xC73fD562de86d7860EE636C20813Bcb2cF4D550d, agregó la dirección 0xD4677B5A8B1b97EA213Fdb876b0FcBAB3f9F6CD1 a estas 2 billeteras multisignatura, logrando así el control sobre los privilegios de acuñación del proyecto:
Este tipo de incidentes no se deben a vulnerabilidades de código, sino a problemas de seguridad operativa del proyecto: no proteger adecuadamente las claves privadas de las direcciones privilegiadas, no usar multisignatura con umbral alto para operaciones de alto valor/riesgo, no implementar bloqueos de tiempo para operaciones de acuñación de grandes montos, y falta de mecanismos de respuesta rápida de emergencia.
Tendencias de amenazas de seguridad en Web3
La tendencia más profunda en la seguridad de Web3 en 2026 es la expansión sistémica de las superficies de ataque. Las vulnerabilidades están apareciendo simultáneamente en código, infraestructura, operaciones de interoperabilidad y procesos humanos. Confiar únicamente en algunas auditorías de seguridad o herramientas no puede cubrir áreas como la seguridad operativa, el lado de los empleados, la infraestructura en la nube y la cadena de suministro de software. Esto plantea mayores exigencias para la seguridad operativa continua de los proyectos Web3.
Además, los ataques contra contratos antiguos/inutilizados son frecuentes, donde las vulnerabilidades o autorizaciones son fácilmente explotables por atacantes. Los desarrolladores u operadores de contratos deberían revisar nuevamente la seguridad de los contratos anteriores. Para los contratos inutilizados, se deben manejar oportunamente o transferir adecuadamente los fondos residuales en el contrato, y contactar a los usuarios para cancelar autorizaciones innecesarias. Los usuarios también deben verificar periódicamente y cancelar autorizaciones de contratos que ya no usen, utilizando exploradores de blockchain o herramientas de revocación de autorizaciones.
