Chainalysis: En seis meses, los protocolos de blockchain perdieron 36,7 millones, y los piratas informáticos apuntaron a contratos inteligentes no verificados

La empresa de análisis blockchain Chainalysis publicó el 9 de junio un informe que registra, entre enero y mayo, robos por al menos 36,70 millones de dólares en protocolos cuyo código fuente original nunca fue verificado públicamente en un explorador de bloques; incluyó 4 ataques y 5 protocolos. En todos los casos, los atacantes encontraron la vulnerabilidad mediante la descompilación del bytecode original (en lugar de leer el código fuente público).

Cuatro casos de ataque: montos de la pérdida, fechas y tipos de vulnerabilidad confirmados

Según el informe de Chainalysis, los datos confirmados de los cinco protocolos atacados son los siguientes:

Truebit: 26,20 millones de dólares, 8 de enero de 2026, en Ethereum; desbordamiento de enteros en la función getPurchasePrice() (Solidity v0.5.3, esta versión carece de protección automática contra desbordamientos)

Trusted Volumes: 5,90 millones de dólares, 7 de mayo de 2026, en Ethereum; vulnerabilidad de control de acceso en el proxy de intercambio RFQ

Aperture Finance: 3,20 millones de dólares, 25 de enero de 2026, en Ethereum; bypass de la validación de entrada mediante transferFrom

(Fuente: Chainalysis)

Ekubo: 1,40 millones de dólares, 5 de mayo de 2026, en Ethereum; la lógica de rollback no verificó la identidad del pagador

Chainalysis confirmó que los contratos relacionados con todos los protocolos anteriores no estaban verificados en Etherscan u otros exploradores de bloques cuando ocurrió el ataque, y tampoco existía código fuente público asociado.

Detalles del caso Truebit: contrato desplegado en 2021, con indicios de conducta de ataque sistemática en cadena

El análisis de gráficos Reactor de Chainalysis muestra que la dirección del atacante que ejecutó el ataque a Truebit (8 de enero de 2026, pérdida de 26,20 millones de dólares) había robado 5 ETH de Sparkle hacía doce días.

El informe confirma que esa dirección buscó de manera sistemática vulnerabilidades en contratos verificados y no verificados, escalando de objetivos pequeños iniciales hasta un ataque final de gran escala; los fondos obtenidos en ambos ataques se blanquearon mediante Tornado Cash. El contrato atacado de Truebit se desplegó en Ethereum desde 2021 y nunca verificó el código fuente en Etherscan.

Tres brechas de seguridad en contratos no verificados: mecanismos de fallo de defensa confirmados por Chainalysis

El informe de Chainalysis confirma que, cuando los protocolos optan por un despliegue cerrado, los siguientes tres niveles tradicionales de seguridad dejan de funcionar de forma sincronizada:

Fallo en la revisión por investigadores white hat: sin código fuente legible público, los investigadores de seguridad no pueden identificar ni reportar vulnerabilidades

Exclusión de planes de bug bounty: los contratos no verificados normalmente se excluyen explícitamente de los principales planes de bug bounty

Fallo en el reporte impulsado por la comunidad: en un entorno abierto de auditoría sin código fuente, la comunidad no puede identificar problemas de seguridad de forma proactiva

El informe de Chainalysis confirma que, para los protocolos con contratos no verificados, la monitorización on-chain en tiempo real es actualmente el único medio de protección que puede sustituir los mecanismos de fallo mencionados.

Preguntas frecuentes

¿Cuál es la diferencia de seguridad central entre contratos inteligentes no verificados y contratos verificados?

El código fuente de los contratos verificados se puede leer públicamente en exploradores de bloques como Etherscan, y los investigadores de seguridad pueden identificar directamente las vulnerabilidades y enviar reportes. Los contratos no verificados solo publican el bytecode compilado; tanto investigadores de seguridad como atacantes necesitan herramientas de descompilación para hacer ingeniería inversa, y los contratos no verificados suelen quedar excluidos de los planes principales de bug bounty.

¿Cómo se compara con el robo total en DeFi los 36,70 millones de dólares registrados por Chainalysis?

De acuerdo con el informe de Chainalysis, 36,70 millones de dólares corresponden a una subcategoría independiente dentro de las pérdidas totales de más de 1,00 miles de millones de dólares en los 88 protocolos DeFi registrados por DeFiLlama en el mismo periodo. La mayoría de los protocolos atacados registrados por DeFiLlama cuentan con contratos inteligentes verificados; los ataques a contratos no verificados constituyen un patrón de ataque único y no deberían compararse directamente con estadísticas más amplias de seguridad DeFi.

¿Cuáles son las recomendaciones de seguridad específicas de Chainalysis para protocolos de contratos no verificados?

La única recomendación concreta confirmada por el informe de Chainalysis es desplegar monitorización on-chain en tiempo real para sustituir las funciones que fallan en los contratos no verificados dentro del ecosistema tradicional de seguridad. El informe no proporciona recomendaciones específicas de herramientas de monitorización, estándares de implementación ni sugerencias de plazos.