El segundo trimestre de 2026 marcó un récord incómodo para las finanzas descentralizadas. DefiLlama contabilizó cerca de 70 exploits y unos 746 millones de dólares robados, el mayor número de incidentes jamás registrado en un trimestre.
La cifra dobla el récord previo en frecuencia, aunque queda lejos de los picos históricos en volumen. El patrón cambió: muchos ataques pequeños sustituyeron a unos pocos megarrobos.
Los exploits a puentes cross-chain concentraron el mayor daño, con unos 351 millones de dólares. La conclusión parece obvia: reforzar el código de los puentes. La lectura, sin embargo, apunta al lado equivocado.
El dato que desmonta el relato técnico
Los dos golpes que definieron el trimestre no nacieron de un fallo en el contrato. El exploit de Drift Protocol drenó unos 285 millones de dólares mediante una campaña de ingeniería social atribuida al grupo Lazarus.
El ataque a KelpDAO sustrajo cerca de 293 millones a través del puente LayerZero OFT, por suplantación de mensajes y firmantes comprometidos. Un solo incidente explicó más del 38% del valor robado en todo el trimestre.
Ambos casos comparten un rasgo decisivo: el código de los contratos inteligentes funcionó como estaba escrito. El fallo ocurrió en la capa humana y operativa.
Los seguros vigilan el código; los ataques apuntan a las personas
La industria de la cobertura paramétrica y las auditorías nació para medir el riesgo del contrato inteligente. El producto evalúa líneas de código, no la disciplina operativa de un equipo.
La distribución de pérdidas revela el desajuste. El robo de credenciales de administrador y la manipulación de precios sumaron el 37% del daño trimestral. El compromiso de claves privadas aportó otro 5,66%.
El código vulnerable pierde peso relativo frente al error humano. La defensa, no obstante, sigue concentrada donde el atacante ya casi no entra.
Por qué los puentes concentran el daño operativo
Un puente custodia valor y depende de un conjunto de firmantes y de un proceso de verificación de mensajes. La seguridad descansa, por tanto, en supuestos de confianza que operan personas.
El riesgo correlacionado agrava el problema. Un único fallo en la validación o en un firmante afecta a todos los usuarios a la vez. La aseguradora tradicional reparte riesgos independientes; el puente los concentra.
El resultado encaja con los datos. Los puentes lideran las pérdidas mensuales porque concentran el punto más débil: el modelo de confianza, no la sintaxis del contrato.
El autoseguro como síntoma
Ante el vacío, la respuesta dominante traslada la carga al usuario. El consejo habitual pide asumir el autoseguro del usuario y ensayar un plan de respuesta para la primera hora. También revela una claudicación analítica: un riesgo sistémico y operativo se presenta como un problema de educación individual.
En mayo, solo unos 9,4 millones de 68,3 millones robados regresaron a sus dueños, una recuperación de fondos cercana al 14%.
El daño directo no captura la magnitud. Tras los hackeos, cerca de 14.000 millones de dólares abandonaron las finanzas descentralizadas, según datos citados por la prensa financiera. La proporción resulta elocuente. La fuga de capital multiplicó por casi 19 el valor sustraído. El valor total bloqueado cayó desde el pico cercano a 170.000 millones hasta el entorno de 130.000 millones en junio.
La confianza, y no el saldo robado, fija el coste verdadero. La mala asignación de la defensa alimenta directamente la huida.
Qué cambiaría el diagnóstico
Corregir el rumbo exige elevar la seguridad operativa al primer plano. La custodia distribuida de firmantes, las claves respaldadas por hardware y la resistencia a la ingeniería social pesan ya más que una auditoría de código adicional.
La cobertura debe seguir el mismo camino. Un seguro útil tendría que tasar el fallo de gobernanza y la gestión de claves, no solo el error de programación. El control de los caminos de administrador y la vigilancia de anomalías protegen más que revisar una vez la lógica del contrato.
El vacío de seguros en DeFi existe y persiste. La causa, sin embargo, no se reduce a la dificultad de asegurar puentes. El sector fortifica el contrato mientras el atacante entra por el operador. La superficie de ataque se desplazó hacia las personas, y la defensa todavía no lo asume.
Mientras los seguros, las auditorías y los manuales apunten al código, la brecha seguirá abierta. El problema no es la falta de cobertura, sino la mala lectura del riesgo.
