Más de 3.100 millones de dólares en cripto se han perdido en lo que va de 2025 debido a problemas que incluyen errores en contratos inteligentes, vulnerabilidades de control de acceso, rug pulls y estafas, según un informe del auditor de seguridad de la blockchain Hacken.

Esta cifra para la primera mitad de 2025 supera el total de 2.850 millones de dólares de todo el año 2024. Si bien el hackeo de Bybit de 1.500 millones de dólares en el primer trimestre de 2025 pudo haber sido un caso atípico, el sector cripto en general sigue enfrentándose a desafíos significativos.

La distribución de los tipos de pérdidas se mantiene en gran medida consistente con las tendencias observadas en 2024. Los exploits de control de acceso han sido el principal impulsor de las pérdidas, representando alrededor del 59% del total. Las vulnerabilidades de contratos inteligentes contribuyeron a cerca del 8% de las pérdidas, con 263 millones de dólares robados. 

Tipos de ataques cripto y pérdida total en el semestre de 2025. Fuente: Informe de Seguridad Web3 del Primer Semestre de 2025 de Hacken

Yehor Rudytsia, Jefe de Análisis Forense y Respuesta a Incidentes, dijo a Cointelegraph que observaron una explotación significativa de GMX V1, con su base de código desactualizada siendo objetivo a partir del tercer trimestre de 2025. Rudytsia afirmó:

“Los proyectos deben preocuparse por su base de código antigua / legada si no detuvieron completamente las operaciones.”

A medida que el espacio cripto madura, los atacantes han cambiado su enfoque de explotar fallos criptográficos a apuntar a las debilidades a nivel humano y de proceso. Estas técnicas sofisticadas incluyen blind signing attacks, private key leaks y campañas de phishing elaboradas. 

Este panorama en evolución resalta una vulnerabilidad crucial: El control de acceso en cripto sigue siendo una de las áreas más subdesarrolladas y de alto riesgo, a pesar de las crecientes salvaguardias técnicas.

DeFi y los contratos inteligentes exponen vulnerabilidades

Los fallos de seguridad operativa fueron responsables de la mayoría de las pérdidas, con 1.830 millones de dólares robados tanto en plataformas DeFi como CeFi. El incidente más destacado en el segundo trimestre fue el hackeo de Cetus , donde 223 millones de dólares fueron drenados en solo 15 minutos, marcando el peor trimestre de DeFi desde principios de 2023 y deteniendo una tendencia a la baja de cinco trimestres en pérdidas relacionadas con exploits. 

Pérdidas trimestrales de DeFi. Fuente: Informe de Seguridad Web3 del Primer Semestre de 2025 de Hacken

Antes de esto, el cuarto trimestre de 2024 y el primer trimestre de 2025 vieron un predominio de fallos de control de acceso, eclipsando la mayoría de los exploits basados en errores. Sin embargo, este trimestre las pérdidas por control de acceso en DeFi cayeron a solo 14 millones de dólares, el nivel más bajo desde el segundo trimestre de 2024, aunque los exploits de contratos inteligentes aumentaron.

El ataque de Cetus explotó una vulnerabilidad de verificación de desbordamiento en su cálculo de liquidez. El atacante utilizó un flash loan para abrir posiciones diminutas, luego barrió 264 pools. Si se hubiera implementado un monitoreo en tiempo real del valor total bloqueado (TVL) con auto-pausa, hasta el 90% de los fondos podrían haberse salvado, según Hacken.

La IA representa una amenaza creciente para la seguridad cripto

La IA y los modelos de lenguaje grandes (LLM) están profundamente integrados en los ecosistemas Web2 y Web3. Si bien esta integración impulsa la innovación, también amplía la superficie de ataque, introduciendo amenazas de seguridad nuevas y en evolución.

Los exploits relacionados con la IA han aumentado en un 1.025% en comparación con 2023, con un asombroso 98,9% de estos ataques vinculados a API inseguras. Además, cinco vulnerabilidades y exposiciones comunes (CVE) importantes relacionadas con la IA se agregaron a la lista, y el 34% de los proyectos Web3 ahora implementan AI agents en entornos de producción, lo que los convierte en un objetivo creciente para los atacantes.

Los marcos de ciberseguridad tradicionales, como ISO/IEC 27001 y el Marco de Ciberseguridad (CSF) del Instituto Nacional de Estándares y Tecnología (NIST), están mal equipados para abordar riesgos específicos de la IA, como model hallucination, prompt injection y adversarial data poisoning. Estos marcos deben evolucionar para ofrecer una gobernanza integral que incluya los desafíos únicos planteados por la IA.

Aclaración: La información y/u opiniones emitidas en este artículo no representan necesariamente los puntos de vista o la línea editorial de Cointelegraph. La información aquí expuesta no debe ser tomada como consejo financiero o recomendación de inversión. Toda inversión y movimiento comercial implican riesgos y es responsabilidad de cada persona hacer su debida investigación antes de tomar una decisión de inversión.