2026El año en brechas

Las bóvedas perp de Wasabi en Ethereum, Base, Berachain y Blast perdieron $5M cuando un EOA desplegador con ADMIN_ROLE único permitió upgrades UUPS.

Las bóvedas Sui de Volo perdieron $3,5M tras ingeniería social que comprometió la clave admin. El equipo congeló $500K y bloqueó un puente WBTC de $2,1M.

292 M$ en rsETH sin respaldo acuñados tras explotar la configuración 1-de-1 de LayerZero DVN de KelpDAO; el mayor hackeo DeFi de 2026, TVL cayó 13 B$ después.

Rhea Finance en NEAR perdió $18,4 M tras una preparación de dos días con tokens falsos, 423 billeteras y 8 pools Ref que explotaron suma de slippage.

1.000 M de DOT bridgeados acuñados en Hyperbridge tras una verificación ausente en VerifyProof que dejó forjar pruebas MMR; pérdida realizada ~2,5 M$.

Ingeniería social de la RPDC engañó al Security Council de Drift para firmar txs con nonces duraderos que cedieron el control admin, drenando 285 M$ en Solana.

Resolv Labs perdió $25 M tras comprometerse sus claves AWS KMS; un depósito de $100K USDC minteó 50M USR y despegó la stablecoin un 74% en 17 minutos.

La bóveda BRO de Solv perdió $2,73M cuando un bug ERC-3525 de doble acuñación convirtió 135 BRO en ~567M BRO, intercambiados luego por 38 SolvBTC.

Un usuario de Venus Protocol fue phishieado para delegar el control de cuenta, perdiendo ~$3,7M de su posición. Los contratos de Venus no fueron tocados.

4,3 M$ drenados del puente ioTube de IoTeX por un compromiso de clave de validador; también acuñó 111 M CIOTX y 9,3 M CCS. IoTeX prometió compensación total.

~$1,78 M drenados de Moonwell en Base tras un mercado recién listado usar un feed con desajuste de decimales, tasando mal el colateral.

El pool de préstamos Stellar de YieldBlox perdió $10,2M cuando una sola venta USTRY-USDC a 501x definió el oráculo Reflector en una ventana de 15 min.

Step Finance perdió 261.854 SOL ($27M) de billeteras de tesorería y comisiones ante un actor 'sofisticado'. STEP cayó 96%; Step, SolanaFloor y Remora cerraron.

$4,13 M extraídos del pool DUSD/USDC de Makina vía manipulación de MachineShareOracle con préstamo flash; white-hat recuperó 89% en una semana.

SagaEVM perdió $7M en 11 minutos cuando un bug de Ethermint permitió mensajes elaborados que minteaban Saga Dollar sin colateral y lo puenteaban a ETH.

TMXTribe, un protocolo de staking/recompensas, perdió ~$1,4M cuando un fallo contable de distribución permitió al atacante reclamar repetidamente en exceso.

Truebit perdió $26,4M cuando un desbordamiento entero en la curva de bonding de TRU de cinco años permitió acuñar TRU casi gratis y venderlo por 8.500 ETH.