Beosin: 36 incidentes de seguridad principales en mayo, con una pérdida total de más de 76 millones de dólares estadounidenses

Escrito por: Beosin

Según los datos de monitoreo de la plataforma Beosin Alert, en mayo de 2026, el monto total de pérdidas por diversos incidentes de seguridad fue de aproximadamente 76.15 millones de dólares, con un total de 36 ataques importantes de hackers, principalmente debido a vulnerabilidades en contratos y filtraciones de claves privadas. Entre ellos, 17 incidentes se debieron a vulnerabilidades en contratos/red, y 10 a filtraciones de claves privadas, enfrentando el ecosistema DeFi desafíos severos en seguridad de código y operación.

Top 10 de protocolos con mayores pérdidas en mayo

El puente cross-chain Verus-Ethereum, que conecta la cadena Verus L1 y Ethereum, fue atacado por una vulnerabilidad en el contrato, con una pérdida máxima de 11.58 millones de dólares. Echo Protocol fue atacado por filtración de claves privadas, permitiendo a los atacantes acuñar 1000 eBTC (valor teórico de aproximadamente 76.700 millones de dólares), pero debido a limitaciones de liquidez, la ganancia real final fue de aproximadamente 5.13 millones de dólares.

Tipos de proyectos atacados y pérdidas en cada cadena

Los objetivos atacados incluyen puentes cross-chain, exchanges descentralizados, protocolos de préstamos, mercados de predicción, stablecoins, usuarios comunes, entre otros, siendo los puentes cross-chain los que más pérdidas acumularon, con hasta 27.995 millones de dólares. Los proyectos relacionados con DeFi fueron los más atacados, con un total de 14 incidentes.

La cadena con mayores pérdidas en mayo fue Ethereum, con más de 48.76 millones de dólares, y muchos incidentes de seguridad en puentes cross-chain y protocolos DeFi siguen centrados en Ethereum. Le siguen BNB Chain, Monad, TON, además de Monero y Bitcoin, mostrando una tendencia de ataques en múltiples cadenas.

Análisis de los principales incidentes de seguridad

1. Verus: Defecto en la verificación de mensajes cross-chain

El funcionamiento del puente Verus-Ethereum consiste en que el remitente proporciona datos de prueba que indican que en la cadena Verus existe una salida certificada por notario, y tras la verificación del contrato puente en Ethereum, se liberan los activos. La vulnerabilidad radica en que, aunque el contrato puente en Ethereum verifica las pruebas provenientes de Verus, no valida si los datos corresponden a una salida válida original, permitiendo a los atacantes construir salidas falsas que pasan la verificación y extraer fondos mucho mayores a sus depósitos.

Código con vulnerabilidad:

Este incidente es similar a las vulnerabilidades que causaron pérdidas de 320 millones de dólares en Wormhole en 2022 y 190 millones en Nomad, ya que ambos verificaron los mensajes en sí, pero no validaron el valor de los fondos subyacentes.

2. Trusted Volumes: Defecto en los parámetros de firma

El atacante utilizó un defecto en el diseño de firma en el proceso de consulta de precios RFQ de TrustedVolumes, en el que, durante la transferencia, mediante datos de firma personalizados, estableció el remitente de la transferencia como el contrato Resolver de TrustedVolumes y pasó la verificación, permitiendo transferir activos desde el contrato Resolver y obtener beneficios.

Código con vulnerabilidad:

La verificación de autorización hace referencia a varg4, pero la transferencia de fondos usa otros parámetros, sin una validación adecuada, lo que provoca que el firmante autorizado y la dirección de deducción no coincidan.

El atacante solo necesita firmar un pedido con la dirección del firmante registrado (verificado por firma), y puede establecer otros parámetros (tokens, cantidades) en valores arbitrarios, como un pedido falso 1:1, que pase la validación de precios del oráculo, y luego retirar activos del contrato del protocolo:

3. Caso de filtración de claves privadas en StablR

En mayo, ocurrieron múltiples incidentes de filtración de claves privadas, con pérdidas totales que superaron los 25 millones de dólares. StablR, como emisor de stablecoins reguladas, se convirtió en un ejemplo típico de los riesgos de seguridad en la emisión de stablecoins y en el sector DeFi.

StablR lanzó dos productos de stablecoins reguladas: EURR y USDR, controlados por billeteras multisig. La billetera multisig que controla la emisión de EURR es 0x8278D2881dBF8F6Fc01c98d196c4b16F1aade5Bc; la que controla USDR es 0xF45392bd2D6e6b8C5Dc26BA6c8a12889419B82F3.

Dado que ambas billeteras multisig requieren solo una firma para realizar transacciones, el atacante, controlando la dirección owner 0xC73fD562de86d7860EE636C20813Bcb2cF4D550d, logró agregar la dirección 0xD4677B5A8B1b97EA213Fdb876b0FcBAB3f9F6CD1 a ambas billeteras, obteniendo control sobre la capacidad de emitir moneda del proyecto:

Este tipo de incidentes no se deben a fallos en el código, sino a problemas de seguridad operativa: no guardar adecuadamente las claves privadas de las direcciones privilegiadas, no usar firmas con umbral alto para operaciones de alto valor, no implementar tiempos de bloqueo en grandes emisiones, y carecer de mecanismos de respuesta rápida ante emergencias.

Tendencias en amenazas de seguridad en Web3

La tendencia más profunda en la seguridad Web3 en 2026 es la expansión sistemática del alcance de los ataques. Las vulnerabilidades aparecen en código, infraestructura, interacción y procesos humanos, y depender solo de auditorías o herramientas no cubre áreas como seguridad operativa, empleados, infraestructura en la nube o cadena de suministro de software. Esto exige mayores estándares de seguridad operacional para los proyectos Web3.

Además, los ataques a contratos antiguos o obsoletos son frecuentes, aprovechando vulnerabilidades o permisos fácilmente explotables. Los desarrolladores y operadores deben revisar la seguridad de contratos anteriores, gestionar o transferir fondos remanentes en contratos obsoletos, y contactar a los usuarios para cancelar permisos innecesarios. Los usuarios también deben revisar periódicamente con exploradores blockchain o herramientas de revocación de permisos y cancelar autorizaciones que ya no usen.