TL;DR

  • El sector DeFi ha registrado pérdidas de más de 600 millones de dólares en lo que va de 2026
  • Kelp DAO fue objeto de un exploit que envió el valor total bloqueado (TVL) del sector a su nivel más bajo en doce meses
  • Los vectores de ataque están cambiando: la ingeniería social y el phishing están tomando el relevo donde antes dominaba la pura debilidad del código
  • Ni las auditorías de seguridad ni los programas de recompensas por errores por sí solos son protección suficiente

El ataque a Kelp DAO marca un nuevo rumbo para el TVL

Una grave brecha de seguridad contra el protocolo DeFi Kelp DAO en abril de 2026 ha contribuido a que el TVL total del sector caiga a su punto más bajo en un año. El ataque se produce en un período en el que las pérdidas de DeFi ya se han acumulado a más de 600 millones de dólares desde principios de año, según CryptoNews.

Kelp DAO es un protocolo de restaking que permite a los usuarios bloquear tokens de staking líquidos para generar rendimientos. Los detalles específicos sobre el mecanismo del exploit aún no han sido confirmados completamente por investigadores independientes, y los detalles técnicos adicionales deben tratarse con precaución hasta que se disponga de un análisis post-mortem exhaustivo.

Más de 600 millones de dólares en pérdidas de DeFi en menos de cuatro meses, y los atacantes se dirigen cada vez más a las personas, no al código.
Las pérdidas de DeFi superan los 600 millones de dólares tras el exploit de Kelp DAO

Las pérdidas se aceleran en 2026

El trasfondo del incidente es sombrío: la industria cripto en su conjunto ya había acumulado pérdidas de 1.740 millones de dólares a finales de abril de 2025, cuatro veces más que en el mismo período del año anterior, según datos de investigación. La tendencia no parece revertirse.

$600M+
Pérdidas de DeFi hasta la fecha en 2026
62 %
Menos exploits en protocolos con medidas de seguridad continuas vs. auditorías puntuales

Particularmente preocupante es el cambio en los patrones de ataque. Mientras que los exploits de contratos inteligentes basados en código cayeron un 89 por ciento interanual en el primer trimestre de 2026, el phishing y la ingeniería social representaron aproximadamente 306 millones de dólares en pérdidas durante el mismo período, casi dos tercios del total, según datos de investigación de seguridad.

Las pérdidas de DeFi superan los 600 millones de dólares tras el exploit de Kelp DAO

Las auditorías no son suficientes

La industria de la seguridad DeFi ha crecido significativamente. El mercado de seguridad de contratos inteligentes se estimó en alrededor de 467 millones de dólares en 2024, con una tasa de crecimiento anual esperada de casi el 25 por ciento hasta 2033. Sin embargo, las cifras muestran que las auditorías no son una garantía.

Análisis de más de 8.000 informes de auditoría del período 2020 a 2023 encontraron poca evidencia de que las auditorías por sí mismas reduzcan el número de ataques exitosos posteriores. Una debilidad central es que las auditorías son instantáneas: no capturan cambios en el código, la gobernanza o las claves de administración introducidos después de la entrega del informe.

Recompensas por errores: continuas, pero no universales

Los programas de recompensas por errores (bug bounty), donde se recompensa a los hackers éticos por descubrir vulnerabilidades, parecen ser un complemento importante. La plataforma Immunefi afirma haber pagado más de 116 millones de dólares a investigadores de seguridad desde su inicio en diciembre de 2020, y actualmente protege más de 330 proyectos que gestionan colectivamente 190 mil millones de dólares en TVL.

El modelo de recompensas escalonadas —donde el pago se vincula a un porcentaje de las pérdidas potenciales que una falla de seguridad podría causar— tiene como objetivo, según el CEO de Immunefi, Mitchell Amador, hacer que la divulgación ética sea más rentable que la explotación real de las vulnerabilidades. En la primera mitad de 2025, se registraron más de 8.500 divulgaciones de «sombrero blanco» en dichas plataformas.

Sin embargo, cabe señalar que la cobertura de las recompensas por errores varía mucho entre los protocolos, y no todos los proyectos ofrecen programas competitivos.

¿Qué deben hacer los protocolos ahora?

Los expertos en seguridad tienen claro que ningún mecanismo único es suficiente en el panorama de amenazas actual. Las recomendaciones apuntan a un enfoque por capas: auditorías de código frecuentes y exhaustivas, programas activos de recompensas por errores con estructuras de recompensa significativas, monitoreo de transacciones en tiempo real y un enfoque agudizado en la seguridad operativa, particularmente en torno a las claves privadas y los procedimientos internos.

Para Kelp DAO y otros protocolos que han sido atacados recientemente, queda por ver qué medidas específicas se implementarán. Inversores y usuarios siguen de cerca cómo el sector maneja una serie de eventos que ahora están empujando el TVL a niveles no vistos en más de un año.

Fuentes: CryptoNews, datos de investigación de seguridad sobre auditorías DeFi y programas de recompensas por errores (2020–2026)