4 de abril, hackers de DeFi robaron más de 600 millones de dólares: se acusa al Grupo Lazarus como el cerebro detrás

2026年4月，去中心化金融（DeFi）领域遭遇了近年来最严峻的安全考验。据链上安全机构统计，当月因黑客攻击造成的盗窃总额超过6.06亿美元，创下月度损失新高。多个主流协议接连失守，而朝鲜背景的黑客组织 Lazarus Group 被多个调查机构指认为系列攻击的主要幕后黑手。这一系列事件不仅暴露了 DeFi 基础设施的脆弱性，也推动行业重新审视跨链交互与私钥管理的风险边界。

Cuál es la magnitud real de las pérdidas en los grandes incidentes de seguridad de abril

Hasta el 27 de abril de 2026, los incidentes de hackeo en DeFi divulgados públicamente han provocado un robo total de activos por más de 6.06 mil millones de dólares. Entre los tres casos de mayor escala se encuentran: KelpDAO con una pérdida de aproximadamente 2.92 mil millones de dólares, Drift Protocol con aproximadamente 2.85 mil millones de dólares, y Purrlend con unos 1.5 millones de dólares. Además, otros protocolos como Scallop reportaron pérdidas que van desde decenas de miles hasta millones de dólares. Estos datos provienen de divulgaciones posteriores de los proyectos y de informes de plataformas de monitoreo en cadena que rastrean fondos, sin incluir ataques menores no divulgados o aún no confirmados. Dividiendo las pérdidas de abril por semana, se observa que las pérdidas aumentaron semana a semana en las tres primeras semanas, mientras que en la cuarta semana, debido a la suspensión de servicios o actualizaciones de algunos proyectos, las pérdidas disminuyeron.

¿Qué técnicas de ataque entre protocolos han sido utilizadas por los hackers?

Un análisis técnico de los incidentes divulgados revela que los atacantes principalmente explotaron vulnerabilidades en la gestión de permisos de contratos y defectos en la lógica de puentes entre cadenas. En el caso de KelpDAO, los atacantes obtuvieron control de la clave privada de una wallet de administración, eludiendo el mecanismo de firma múltiple y llamando directamente a funciones de retiro en el contrato para transferir en lotes los activos en staking. El ataque a Drift Protocol fue aún más complejo: los atacantes aprovecharon un contrato malicioso desplegado en otra cadena, y mediante un protocolo de comunicación entre cadenas, falsificaron pruebas de depósito de activos, permitiendo así un préstamo excesivo en la cadena objetivo. Estas técnicas muestran que los atacantes ya no se limitan a vulnerabilidades en contratos inteligentes individuales, sino que aprovechan la confianza entre múltiples protocolos como punto de entrada.

¿Por qué se atribuye Lazarus Group como principal sospechoso?

Varias empresas de seguridad en blockchain, mediante análisis de los flujos de fondos en cadena, vinculan múltiples ataques importantes de abril con Lazarus Group. Este grupo tiene un historial de transferir fondos ilícitos mediante criptomonedas, y sus patrones en cadena incluyen: transferir rápidamente fondos a través de puentes descentralizados a diferentes redes, usar mezcladores (como bifurcaciones o alternativas a Tornado Cash) para limpiar fondos en lotes, y finalmente dirigir parte de los fondos a direcciones relacionadas con puntos de entrada de moneda fiduciaria. En los incidentes de abril, las rutas de transferencia de fondos robados en KelpDAO y Drift coinciden con los patrones observados en casos anteriores como los ataques a Ronin Bridge y Harmony Bridge. Aunque ningún grupo o individuo ha reclamado responsabilidad públicamente, la similitud en los comportamientos hace que Lazarus Group sea el sospechoso más plausible en la actualidad.

¿Cómo se transfieren y mezclan los fondos robados entre cadenas?

Tras el ataque, la eficiencia y el anonimato en la transferencia de fondos son prioridades para los atacantes. Tomando como ejemplo los dos mayores incidentes de abril, en cuestión de horas, la mayoría de los activos fueron transferidos desde la cadena original (como Ethereum o Solana) a través de puentes entre cadenas hacia varias redes Layer 2 emergentes o cadenas con mayor privacidad. Luego, los fondos se dividieron en cientos de pequeñas transacciones que ingresaron en múltiples protocolos de mezcla descentralizados. Estos protocolos utilizan pruebas de conocimiento cero o cálculos multipartitos para ocultar la relación entre las direcciones de entrada y salida, dificultando que las herramientas de rastreo en cadena identifiquen a los destinatarios reales. Parte de los fondos, tras la mezcla, se convierten en otros tipos de activos criptográficos mediante plataformas de activos sintéticos, lo que aumenta la dificultad para congelar o recuperar los fondos.

¿Qué impacto han tenido estos ataques en la cantidad total de fondos bloqueados en DeFi?

Los grandes incidentes de seguridad han impactado directamente en la confianza del mercado, reflejándose en la cantidad total de fondos bloqueados (TVL) en el ecosistema DeFi. Según datos en cadena, en las 72 horas posteriores a los ataques en los principales protocolos afectados en abril, el TVL promedio cayó entre un 35% y un 60%. Por ejemplo, el TVL de KelpDAO cayó de aproximadamente 850 millones de dólares antes del ataque a menos de 310 millones. El mercado de DeFi en general también experimentó efectos en cadena: los usuarios tendieron a retirar fondos de proyectos con interacciones entre cadenas complejas y permisos de contrato más abiertos, migrando hacia protocolos de préstamos más maduros o soluciones centralizadas de custodia. Hasta el 27 de abril, el TVL total en Ethereum en DeFi había bajado aproximadamente un 12% respecto a principios de mes, aunque algunos protocolos enfocados en la gestión de riesgos aislados vieron pequeños flujos de fondos positivos.

¿Puede el fondo de recuperación de Aave convertirse en un estándar de seguridad en la industria?

Frente a las pérdidas de seguridad en expansión, Aave, uno de los principales protocolos de préstamos, anunció a mediados de abril la creación de un fondo de recuperación para compensar parcialmente a los usuarios afectados por vulnerabilidades que no sean de código (como ataques a dependencias externas o ataques de gobernanza). El funcionamiento del fondo consiste en que el tesoro de Aave y algunos socios del ecosistema aportan fondos, y un comité independiente de evaluación de riesgos revisa la elegibilidad de cada caso para la compensación. Aunque aún no cubre todos los incidentes de seguridad de abril, la creación de este fondo ha generado debate en la industria: ¿debería establecerse un mecanismo similar a un seguro de depósitos bancarios, un “fondo de seguridad DeFi”? Los defensores argumentan que esto puede aumentar la confianza de los usuarios comunes, mientras que los detractores advierten sobre posibles riesgos morales, ya que los proyectos podrían reducir sus auditorías de seguridad si esperan compensaciones externas.

¿Cómo pueden los usuarios individuales identificar y prevenir riesgos en los protocolos DeFi?

Mientras la mejora en la seguridad de los protocolos aún requiere tiempo, los usuarios pueden adoptar medidas para reducir la exposición a riesgos. Primero, priorizar protocolos que hayan pasado auditorías independientes múltiples y cuyo código sea de código abierto, verificando si las auditorías son realizadas por instituciones reconocidas. Segundo, ser cautelosos al otorgar permisos a tokens, revocando periódicamente permisos no utilizados mediante exploradores en cadena o herramientas de gestión de autorizaciones. Tercero, mantener los activos principales en wallets multifirma o hardware wallets, y separar las operaciones de gran volumen del uso de wallets calientes. Cuarto, seguir las alertas en plataformas de monitoreo de seguridad en tiempo real, y cancelar permisos en cuanto se detecte un ataque. Quinto, para nuevos protocolos con recompensas altas por liquidity mining, asumir que su seguridad aún no ha sido completamente validada y limitar la proporción de fondos invertidos en ellos.

Resumen

En abril de 2026, el ecosistema DeFi sufrió pérdidas superiores a 6.06 mil millones de dólares debido a ataques en cadena en serie, con protocolos como KelpDAO y Drift perdiendo control. El análisis de comportamiento en cadena apunta con fuerza a Lazarus Group como el principal responsable, con técnicas de transferencia y limpieza de fondos entre cadenas altamente sofisticadas. Esta crisis de seguridad no solo provocó una caída significativa en el TVL de los proyectos afectados, sino que también impulsó a la industria a reconsiderar la gestión de permisos, los modelos de confianza entre cadenas y los mecanismos de compensación a usuarios. Para los participantes comunes, antes de que se establezcan estándares de seguridad unificados, controlar activamente los permisos, aislar activos y mantenerse alerta ante las alertas de seguridad sigue siendo la forma más efectiva de proteger sus fondos.

FAQ

Pregunta: ¿Cómo puedo consultar rápidamente si un protocolo DeFi ha sufrido incidentes de seguridad importantes?

Respuesta: Se puede consultar en plataformas de monitoreo de seguridad (como MistTrack de SlowMist, Alertas de PeckShield) o en sitios de análisis en cadena (como el módulo de rastreo de Rug Pull en DeFi Llama). Además, seguir los canales oficiales de Discord o Twitter del proyecto, donde generalmente publican en una hora los primeros comunicados tras un incidente.

Pregunta: ¿Es posible recuperar los activos criptográficos robados por Lazarus Group?

Respuesta: La recuperación es extremadamente difícil. El grupo suele limpiar los fondos mediante puentes entre cadenas y protocolos de mezcla, y algunos fondos convertidos en moneda fiduciaria se encuentran en jurisdicciones con poca cooperación regulatoria. En muy pocos casos históricos (como cuando las autoridades lograron congelar fondos antes de que se mezclaran completamente) se ha logrado recuperar parcialmente.

Pregunta: ¿Qué debo hacer si un protocolo que uso fue hackeado en abril?

Respuesta: Primero, revoca inmediatamente todos los permisos de contrato relacionados con ese protocolo. Segundo, guarda los hashes de tus transacciones en cadena, registros de permisos y capturas de saldo. Tercero, sigue las publicaciones oficiales del proyecto sobre compensaciones o propuestas de gobernanza; muchos proyectos hacen snapshots para identificar a los afectados y lanzar votaciones. No pagues a terceros que prometan recuperar fondos, ya que en la mayoría de los casos son estafas.