Los principales hackeos de criptomonedas de 2025: incidentes que expusieron los puntos débiles de la industria

2025 fue un año importante para la industria cripto, pero fue un arma de doble filo si se mira el panorama general.

Por un lado, la industria maduró en cuanto a adopción institucional, con un número récord de fusiones y adquisiciones.

Hubo 267 operaciones que sumaron 8.600 millones de dólares, lo que lo convirtió en un año rentable para quienes se situaban en el lado correcto de la operación.

Por otro lado, las pérdidas por hackeos y exploits alcanzaron un récord, exponiendo hasta dónde aún queda por llegar el sector en materia de seguridad.

Datos de empresas de seguridad como SlowMist y CertiK informaron que el número de incidentes de seguridad cayó un 50% interanual, pasando de más de 400 en 2024 a aproximadamente 200 en 2025.

Pero la magnitud de las pérdidas económicas cuenta otra historia. El total de fondos robados aumentó un 55% respecto al año anterior, superando los 3.400 millones de dólares.

Aunque la higiene básica de seguridad, como las auditorías rutinarias de contratos inteligentes y la detección automática de errores, está eliminando con éxito los puntos más fáciles que solían atacar los hackers aficionados, la naturaleza de los ataques ha cambiado fundamentalmente.

Los atacantes modernos ya no están lanzando una red amplia para vulnerabilidades de protocolos pequeños.

En cambio, grupos profesionalizados, especialmente el Grupo Lazarus de Corea del Norte , están pasando meses en reconocimiento e infiltración de infraestructuras para ejecutar ataques únicos y catastróficos.

La industria se enfrenta ahora a una crisis de calidad sobre cantidad, donde se producen menos ataques, pero los que ocurren son mucho más dañinos.

Al comenzar 2026, aquí hay un repaso a cuatro de los mayores incidentes de seguridad de 2025, que expusieron muchos de los puntos débiles de la industria.

Bybit Exchange: 1.500 millones de dólares

El mayor incidente del año se produjo en el exchange de criptomonedas Bybit, con sede en Dubái, que se convirtió en el mayor robo confirmado jamás vinculado al grupo Lazarus de Corea del Norte.

Los atacantes pasaron meses ganándose la confianza con un desarrollador de Safe{Wallet}, un proveedor líder de infraestructuras multifirma, antes de lograr introducir un proyecto Docker malicioso que estableció discretamente una puerta trasera persistente.

Una vez dentro, los atacantes inyectaron JavaScript malicioso en el código frontend de la interfaz de la billetera Safe utilizada por el equipo interno de firma de Bybit.

Mientras los ejecutivos de Bybit iniciaban sesión para firmar lo que parecían transacciones internas rutinarias, la interfaz de usuario mostraba direcciones y cantidades correctas de las carteras.

Sin embargo, a nivel de código, la dirección de destino se intercambiaba silenciosamente por monederos controlados por el atacante.

Se drenaron aproximadamente entre 1.460 y 1.500 millones de dólares en ETH, afectando a un gran número de usuarios que quedaron expuestos a uno de los fallos de seguridad más graves que ha visto la industria.

El incidente puso de manifiesto un punto débil crítico de la industria en torno a la confianza en la interfaz, reforzando que los monederos de hardware y los umbrales multisig ofrecen poca protección si la capa de software que presenta los detalles de la transacción ha sido comprometida.

Og Bitcoin whale: 330 millones de dólares

En abril, una ballena de Bitcoin de la era Satoshi que había estado manteniendo sus monedas intactas durante más de una década fue víctima de un devastador ataque de ingeniería social que resultó en la pérdida de 3.520 BTC, valorados en aproximadamente 330,7 millones de dólares en ese momento.

El incidente quedó grabado en la historia como el mayor robo individual en la historia de la industria, como incriminó el detective en cadena ZachXBT.

A diferencia de los ataques que apuntan a código, este utiliza deepfakes potenciados por IA y clonación de voz para burlarse de las defensas psicológicas de la víctima durante varios meses.

Los responsables, sospechosos de ser un sindicato organizado que operaba desde un sofisticado centro de llamadas en Camden, Reino Unido, usando alias como "Nina" y "Mo", crearon una falsa sensación de seguridad con la víctima anciana al hacerse pasar por asesores legales y técnicos de confianza.

Finalmente, los atacantes dirigieron a la víctima a un falso portal de "verificación de seguridad" que imitaba el sitio oficial de soporte de un conocido proveedor de monederos, donde la víctima fue manipulada para que introdujera sus credenciales privadas o firmara una transacción específica en su dispositivo bajo el pretexto de una "actualización de cuenta". Los fondos se trasladaron al instante.

Los fondos se blanqueaban rápidamente mediante "cadenas de peeling" y se convertían en la moneda de privacidad Monero (XMR), provocando un pico del 50% en el precio de Monero debido a la repentina y masiva demanda.

El incidente puso finalmente en evidencia la extrema vulnerabilidad de las personas de alto patrimonio que carecen de servicios de custodia de nivel institucional, demostrando que ninguna cantidad de cifrado puede proteger los activos si la capa humana se manipula eficazmente.

Exploit del Protocolo Cetus: 223 millones de dólares

El Protocolo Cetus, que es la mayor central descentralizada de la red Sui, fue explotado en mayo debido a una falla técnica en su lógica de contratos inteligentes.

El explotador identificó un fallo aritmético crítico en una biblioteca matemática de código abierto compartida utilizada para cálculos de liquidez, lo que les permitió drenar aproximadamente 223 millones de dólares en activos de liquidez.

Específicamente, la función fue diseñada para escalar de forma segura los números de punto fijo desplazandolos a la izquierda en 64 bits.

Sin embargo, contenía un error lógico en su comprobación de desbordamiento. La comparación usaba una máscara demasiado grande, lo que permitía desplazamientos bit a bit que deberían haberse rechazado.

Al usar un préstamo flash para crear una posición de proveedor de liquidez con un rango de ticks extremadamente estrecho, el atacante desencadenaba un desbordamiento aritmético, más concretamente un truncamiento bit a bit, que hacía que el contrato calculara un depósito requerido de solo 1 unidad de token mientras aún así se acreditaba al atacante con una enorme liquidez.

El atacante simplemente eliminó la liquidez, reclamando las reservas reales del fondo basándose en la contabilidad falsamente inflada.

Aunque los validadores de Sui lograron coordinar una congelación de emergencia de 162 millones de dólares de los activos antes de que pudieran ser transferidos, la pérdida neta siguió siendo una de las mayores en 2025.

Demostró al ecosistema financiero descentralizado que lenguajes modernos orientados a la seguridad como Move no son inherentemente inmunes a errores matemáticos, y reforzó que el rigor matemático sigue siendo un requisito innegociable en el diseño de protocolos.

Balancer V2: 128 millones de dólares

Balancer sufrió una sofisticada vulnerabilidad de ingeniería económica en múltiples cadenas (Ethereum, Arbitrum y Base) en noviembre, cuando un atacante logró convertir en arma una pequeña discrepancia en cómo el protocolo gestionaba el redondeo de precisión durante swaps internos.

Los Composable Stable Pools de Balancer utilizaron diferentes direcciones de redondeo para escalar y reducir cantidades de tokens para proteger el Invariante del protocolo, que sirve como ancla matemática para el algoritmo StableSwap, asegurando que el pool mantenga un valor total constante y un equilibrio durante los intercambios de activos.

El atacante descubrió que al empujar los balances del pool a un rango específico de 8 a 9 Wei, podían hacer que la división entera bajara hasta un 10% del valor mediante errores de redondeo hacia abajo.

Posteriormente, mediante un contrato automatizado, el atacante iniciaba una única transacción que contenía más de 65 micro-swaps.

Cada intercambio recortaba repetidamente algunos Wei de valor, aumentando la pérdida de precisión hasta que la contabilidad interna del pool quedaba completamente distorsionada.

Como resultado, pudieron aprovechar la pérdida de precisión compuesta hasta que la contabilidad interna del pool quedó completamente distorsionada, tras lo cual pudieron acuñar tokens LP a un precio suprimido y canjearlos por su valor total al instante, extrayendo millones sin activar ninguna de las comprobaciones de seguridad del protocolo.