Resumen de Pérdidas en Criptomonedas en Enero
En enero, las pérdidas relacionadas con criptomonedas se dispararon a $370.3 millones, según datos recientes de empresas de seguridad en blockchain. Este total se derivó de aproximadamente 40 incidentes, siendo un solo fraude de ingeniería social responsable de alrededor de $284 millones de las pérdidas. Los ataques de phishing se convirtieron en la principal fuente de robo, acumulando $311.3 millones del total robado durante el mes.
Incidentes Notables y Tendencias
El protocolo cross-chain CrossCurve también reportó una explotación de contrato inteligente en su puente, resultando en pérdidas de aproximadamente $3 millones a través de múltiples redes. Las pérdidas por explotaciones y fraudes aumentaron drásticamente en comparación con meses anteriores, alcanzando el total mensual más alto en casi un año y marcando un aumento cercano a cuatro veces en comparación con enero de 2025.
La empresa de seguridad en blockchain CertiK indicó que la mayor parte de las pérdidas provino de un solo incidente. De los aproximadamente 40 eventos de explotación y fraude registrados, una sola víctima perdió alrededor de $284 millones en un ataque de ingeniería social a gran escala. Los fraudes de phishing, que reflejan una tendencia creciente en la que los atacantes explotan el comportamiento humano en lugar de vulnerabilidades técnicas, fueron el vector de ataque más dañino.
Comparación con Períodos Anteriores
Las cifras de enero representan el total mensual de pérdidas en criptomonedas más alto desde febrero de 2025, cuando los atacantes robaron alrededor de $1.5 mil millones, impulsados en gran medida por la explotación de $1.4 mil millones de la bolsa de criptomonedas Bybit. En comparación con períodos anteriores, el aumento es notable: las pérdidas de enero fueron más del 277% más altas que los $98 millones robados en enero de 2025 y un incremento del 214% desde diciembre, cuando las pérdidas reportadas totalizaron $117.8 millones.
Explotaciones Técnicas y Respuestas
PeckShield también destacó que, además del phishing y la ingeniería social, varias explotaciones a nivel de protocolo contribuyeron al total de enero. El hackeo de Step Finance fue identificado como la explotación técnica más grande del mes, con un robo de aproximadamente $28.9 millones, incluyendo más de 261,000 SOL del rastreador de cartera de finanzas descentralizadas basado en Solana. La segunda explotación más grande involucró al protocolo Truebit, que sufrió un ataque de $26.4 millones el 8 de enero debido a un error en un contrato inteligente que permitió a un atacante acuñar tokens a casi ningún costo, provocando un colapso brusco en el precio del token TRU.
A pesar del aumento en las pérdidas totales, PeckShield reportó que enero vio 16 incidentes de hackeo, con pérdidas combinadas de $86.01 millones solo por hackeos. Febrero podría continuar con los números récord de enero, ya que CrossCurve confirmó que su infraestructura de puente fue explotada en un ataque de contrato inteligente, resultando en aproximadamente $3 millones en pérdidas.
Respuesta de CrossCurve y Curve Finance
En una publicación en X, CrossCurve explicó que la explotación se originó en una vulnerabilidad en uno de los contratos inteligentes utilizados por su puente cross-chain.
El equipo no divulgó inicialmente todos los detalles técnicos, pero reconoció que los atacantes pudieron desbloquear fondos de manera inapropiada, lo que llevó a una respuesta de emergencia de los socios de seguridad. Defimon Alerts, una cuenta asociada con la empresa de seguridad en blockchain Decurity, compartió que la explotación permitió a un atacante suplantar mensajes cross-chain, eludiendo las verificaciones de validación estándar del gateway.
El incidente también provocó una respuesta de Curve Finance, que tiene una asociación con CrossCurve. Curve advirtió a los usuarios que reevaluaran su exposición y consideraran retirar votos si era necesario. En un esfuerzo por recuperar los fondos robados, el CEO de CrossCurve, Boris Povar, apeló públicamente al atacante, ofreciendo una recompensa del 10% si los activos eran devueltos dentro de 72 horas. Povar sugirió que la explotación podría no haber sido intencional y expresó su esperanza de cooperación para resolver el asunto sin escalada, aunque dejó claro que la falta de devolución de los fondos llevaría a CrossCurve a tratar el incidente como malicioso.
