Puntos clave de la noticia:
- Hacken registró pérdidas por $482 millones en 44 incidentes durante el primer trimestre de 2026, siendo el phishing el principal vector de ataque.
- Una estafa de $282 millones con hardware wallets en enero representó más de la mitad del daño total del trimestre, según el informe de Hacken.
- Seis proyectos auditados, incluyendo Resolv con 18 auditorías, acumularon $37,7 millones en pérdidas durante el período analizado.
El ecosistema Web3 perdió $482 millones en hackeos y estafas durante el primer trimestre de 2026, según el informe trimestral de Hacken, firma especializada en seguridad blockchain. El período registró 44 incidentes en total, siendo los ataques de phishing e ingeniería social la categoría dominante: Hubo $306 millones en pérdidas solo por esa vía. Una única estafa con hardware wallets en enero, valuada en $282 millones, concentró más de la mitad del daño económico sufrido en el trimestre.
Los exploits a contratos inteligentes causaron pérdidas por $86,2 millones adicionales, mientras que las fallas de control de acceso —claves comprometidas y servicios en la nube vulnerados— aportaron otros $71,9 millones. A pesar de la magnitud, el trimestre se posiciona como el segundo con menores pérdidas en un primer trimestre desde 2023, esto se debe principalmente a la ausencia de un evento catastrófico comparable al hackeo de Bybit, que en el mismo período de 2025 implicó el robo $1,46 mil millones.
Where Web3 security breaks right now isn’t always where teams are looking.
We’re hosting a live panel on how risk actually shows up in practice: across infra, detection, and compliance – based on Q1 '26 data.
🗓 April 16, 2 PM UTC@LearnMoreWithC4 × @svrn_ai × @kucoincom ×… pic.twitter.com/Px35mJlVjH
— Hacken🇺🇦 (@hackenclub) April 13, 2026
Hacken: Las Fallas Ocurren Fuera del Código
Yev Broshevan, CEO y cofundador de Hacken, señaló que las pérdidas más costosas «ocurren fuera de la capa de código», en infraestructura operativa que las auditorías tradicionales raramente cubren. El informe cita el caso de Step Finance, que perdió $40 millones en una llamada falsa de venture capital vinculada a operadores norcoreanos, y el de Resolv Labs, cuyas claves en AWS fueron comprometidas por $25 millones.
Incluso donde los contratos inteligentes fallaron, los bugs más costosos correspondieron a código legacy: Truebit perdió $26,4 millones por una vulnerabilidad en un contrato Solidity desplegado hace cinco años, mientras que Venus Protocol fue golpeado por un patrón de ataque documentado desde 2022.
La Amenaza Norcoreana
Hacken identifica que hubo un endurecimiento simultáneo de los marcos regulatorios como MiCA y DORA en la Unión Europea, nuevas exigencias de Singapur alineadas a Basilea con notificación obligatoria en una hora, y la expansión de poderes de la Autoridad de Mercados de Capitales de los Emiratos Árabes Unidos sobre activos digitales.
La firma vincula esos marcos a un nuevo estándar de infraestructura que incluye pruebas de reservas diarias, monitoreo onchain permanente y circuit-breakers automatizados en las funciones de gobernanza.
Los grupos de hackers norcoreanos se consolidan como la amenaza operativa más constante, con un playbook que combinó falsas llamadas de VC, herramientas maliciosas de videollamada y endpoints comprometidos para extraer aproximadamente $2,04 mil millones del mercado durante 2025.
