TL;DR
El protocolo Truebit perdió 26 millones de dólares debido a una falla en un contrato obsoleto.
TMXTribe perdió 1,4 millones de dólares en una explotación automatizada durante 36 horas.
Los datos de clientes de Ledger fueron comprometidos a través de un procesador de pagos de terceros.
Principios de 2026 vieron un aumento en los fallos de seguridad cripto. El informe Security Bytes de Extropy detalla brechas en plataformas Web3 durante los primeros quince días del año. Los atacantes operaron continuamente durante las vacaciones, ejecutando atracos multimillonarios y esquemas de phishing avanzados.
El 8 de enero marcó la pérdida de 26 millones de dólares del protocolo Truebit. Un hacker explotó una vulnerabilidad de desbordamiento de enteros en contratos inteligentes obsoletos. Estos códigos heredados carecían de las protecciones integradas contra desbordamientos de Solidity. El atacante generó millones de tokens TRU a un costo casi nulo, agotó toda la liquidez del protocolo y eliminó el valor de la moneda en menos de 24 horas. Envió 8.535 ETH a través de Tornado Cash, vinculando la billetera a un robo previo en el protocolo Sparkle. Extropy señala que los contratos inactivos siguen siendo de alto riesgo a menos que se retiren activamente o se monitoreen.
Del 5 al 7 de enero, TMXTribe perdió 1,4 millones de dólares en 36 horas. El fork basado en Arbitrum de GMX cayó ante un exploit automatizado que acuñaba tokens LP, los intercambiaba por monedas estables y repetía el proceso. Contratos no verificados bloquearon la revisión pública de la vulnerabilidad. Los desarrolladores permanecieron activos en cadena durante la extracción, implementando actualizaciones pero omitiendo la función de pausa de emergencia. Ofrecieron una recompensa al ladrón, quien la ignoró, transfirió los fondos a Ethereum y los lavó a través de Tornado Cash. Extropy señala el código no verificado como una bandera roja crítica para los usuarios.
Fallos en seguridad de Web3: amenazas físicas y digitales convergen
El 5 de enero se produjo la violación de datos de clientes de Ledger. El procesador de pagos Global-e—no Ledger en sí—expondría nombres, direcciones de envío y contactos. Extropy advierte que esto permite los "ataques con llave inglesa", donde los criminales atacan físicamente a los propietarios de billeteras de hardware. La ironía duele: Ledger anteriormente enfrentó críticas por monetizar funciones de seguridad, pero ahora un tercero pone en riesgo a los usuarios sin costo alguno. La empresa predice intentos de phishing personalizados utilizando datos personales robados.
Una campaña de phishing de MetaMask robó 107.000 dólares de cientos de billeteras. El investigador ZachXBT descubrió correos electrónicos que imitaban avisos oficiales sobre una "actualización obligatoria de 2026". Los mensajes usaban plantillas auténticas y una variante festiva del logo de MetaMask.
En lugar de solicitar frases semilla, el fraude engañó a los usuarios para que firmaran aprobaciones de contratos maliciosos, otorgando acceso ilimitado a tokens. Los robos individuales se mantuvieron por debajo de los 2.000 dólares para evitar la detección. Extropy reitera: firmar contratos desconocidos pone en riesgo los fondos con la misma gravedad que revelar claves privadas.
Estos eventos destacan un entorno dual de amenazas. Los atacantes combinan explotaciones técnicas—como fallos en código heredado—con ingeniería social. Los ciclos tradicionales de finanzas incluyen auditorías anuales; el cripto exige vigilancia constante.
Truebit y TMXTribe muestran cómo la deuda técnica se convierte en una responsabilidad financiera. La violación de Ledger demuestra que la seguridad va más allá del código, abarcando capas humanas y físicas. Los usuarios deben verificar contratos, desconfiar de comunicaciones no solicitadas y proteger sus datos personales. El precio del descuido ahora asciende a millones. Las autoridades regulatorias de todo el mundo enfrentan presión para estandarizar auditorías mientras preservan el espíritu central de la descentralización.
Por ahora, la responsabilidad recae en los proyectos para parchear sistemas antiguos y en los usuarios para cuestionar cada interacción. En cripto, la confianza sigue siendo una vulnerabilidad, no una característica.
