Descubre los principales riesgos de seguridad en los smart contracts de criptomonedas, las vulnerabilidades en la custodia de exchanges y los ataques en la cadena de suministro. Aprende sobre los exploits en DAOs, la exposición de datos y las estrategias para proteger activos digitales en Gate y otras plataformas.
La evolución de la seguridad en los smart contracts evidencia una tendencia preocupante hacia una mayor sofisticación en los métodos de ataque. El célebre hackeo a DAO en 2016 reveló una vulnerabilidad crítica de reentrancia, que permitió a los atacantes llamar funciones de manera recursiva para vaciar fondos antes de que se actualizaran los saldos. Este incidente demostró cómo errores aparentemente menores en el código pueden desembocar en pérdidas devastadoras, impulsando décadas de investigación y explotación de vulnerabilidades.
Las vulnerabilidades recurrentes en smart contracts afectan a toda la industria blockchain: desde errores de desbordamiento de enteros y fallos de lógica, hasta controles de acceso deficientes. Estas debilidades permiten a los atacantes manipular el comportamiento de los contratos de formas no previstas. Los sistemas DeFi son especialmente vulnerables, ya que su capacidad de composición y la elevada concentración de capital los convierten en blancos atractivos para actores sofisticados.
| Tipo de vulnerabilidad |
Características |
Impacto histórico |
| Reentrancia |
Llamadas recursivas a funciones para vaciar fondos |
Hackeo a DAO (más de $50M) |
| Fallos de lógica |
Errores en la lógica del contrato que permiten la explotación |
Múltiples exploits en DeFi |
| Desbordamiento de enteros |
Violaciones de límites numéricos |
Exploits de emisión de tokens |
Los vectores de ataque han evolucionado vertiginosamente. Antes, los exploits requerían descubrir vulnerabilidades de forma manual y desarrollar ataques personalizados. Hoy, agentes autónomos basados en inteligencia artificial escanean contratos, detectan debilidades y generan código malicioso sin intervención humana. Estos agentes ajustan sus estrategias en tiempo real, aprendiendo de las defensas implementadas. El resultado es un cambio radical: los vectores de ataque pasan de ser estáticos a dinámicos y adaptativos, impulsados por IA, haciendo que las auditorías tradicionales sean insuficientes para proteger la infraestructura de las finanzas descentralizadas.
Grandes brechas en exchanges de criptomonedas: el 39 % de los ataques a la cadena de suministro afectan a infraestructuras críticas
Los ataques a la cadena de suministro se han convertido en una amenaza grave para los exchanges de criptomonedas: el 39 % de estos incidentes se dirige ya a infraestructuras críticas de la industria. En 2026, el mayor ataque comprometió paquetes JavaScript ampliamente utilizados, permitiendo la inyección de malware directamente en entornos de desarrollo de confianza. Esta táctica resulta especialmente peligrosa porque aprovecha la confianza depositada en herramientas y repositorios legítimos.
El método empleado muestra cómo los delincuentes eluden las defensas convencionales atacando la cadena de suministro. En vez de atacar los sistemas de los exchanges directamente, los actores contaminan paquetes JavaScript que usan los desarrolladores, permitiendo que el malware se propague por varias plataformas de criptomonedas a la vez. Esta estrategia fue especialmente eficaz porque afectó a numerosos servicios de custodia y plataformas de trading que incorporaron los paquetes comprometidos a su infraestructura.
Después de la brecha, los exchanges y empresas blockchain actuaron rápidamente para valorar daños e implementar medidas de mitigación. El incidente puso de manifiesto vulnerabilidades críticas en la gestión de dependencias y la validación del código de terceros. Para los usuarios que mantienen activos en estas plataformas, los fallos en la cadena de suministro suponen un riesgo de custodia considerable, ya que pueden comprometer la seguridad de la infraestructura del exchange, independientemente de la robustez de sus medidas de seguridad internas. El suceso ha llevado a los exchanges a reforzar sus protocolos de seguridad y a exigir revisiones de código más estrictas.
La magnitud de los riesgos de custodia centralizada se hizo patente en 2025: en el primer semestre se robaron más de $2,47 mil millones, lo que revela las vulnerabilidades críticas del modelo centralizado. Estas plataformas concentran los activos digitales en ubicaciones únicas, físicas o digitales, generando puntos únicos de fallo que atraen a atacantes sofisticados y exponen a los usuarios a pérdidas irreparables de datos.
La exposición de datos y el acceso no autorizado constituyen los principales vectores de ataque en los exchanges. Al almacenar claves privadas y registros de transacciones en sistemas centralizados, los exchanges se convierten en objetivos de alto valor. Si se compromete información sensible (direcciones de wallet, historiales de transacciones), los atacantes pueden acceder ilícitamente a los fondos. En los modelos descentralizados, los usuarios mantienen el control directo; en la custodia centralizada, dependen totalmente de la infraestructura de seguridad del exchange.
| Factor de riesgo |
Impacto |
Desafío de mitigación |
| Punto único de fallo |
Posible pérdida total de fondos |
La redundancia exige confiar en varias entidades |
| Exposición de datos |
Robo de identidad, ataques específicos |
Es necesario monitorizar y actualizar constantemente |
| Acceso no autorizado |
Robo directo de fondos |
La autenticación multinivel no es suficiente |
| Vulnerabilidades operativas |
Secuestro de cuentas |
El acceso del personal genera riesgos internos |
Las debilidades operativas agravan estos riesgos, ya que la custodia en exchanges centralizados exige personal con acceso administrativo. Este vector interno, junto a las amenazas emergentes de la computación cuántica que podrían romper la criptografía actual, amplía el panorama de riesgos y pone en jaque los sistemas de seguridad tradicionales de los exchanges centralizados.
FAQ
¿Cuáles son las vulnerabilidades y riesgos de seguridad más habituales en los smart contracts?
Las vulnerabilidades más frecuentes son los ataques de reentrancia, el uso indebido de tx.origin, la manipulación de números aleatorios, los ataques de repetición y los ataques de denegación de servicio (DoS). Estos fallos pueden provocar pérdidas financieras de gran magnitud y fallos sistémicos.
¿Qué incidentes graves de seguridad de smart contracts han ocurrido en la historia, como el caso DAO?
El ataque a DAO en 2016 explotó una vulnerabilidad en la función splitDAO, resultando en el robo de 3 millones de ETH. El exchange Mt.Gox perdió 850 000 BTC por hacking. EOS sufrió robos de claves privadas y ataques maliciosos contra smart contracts. Estos episodios evidenciaron debilidades en la lógica de los contratos, la seguridad de los exchanges y la autenticación de los usuarios.
¿Cuáles son los riesgos de custodia en los exchanges de criptomonedas y cómo se protegen los activos de los usuarios?
Los riesgos de custodia incluyen brechas de seguridad, mala gestión y mezcla de fondos. Los activos de los usuarios se protegen mediante cold storage, wallets multifirma, seguros, cumplimiento regulatorio y servicios de custodia externos que segregan los activos de los usuarios de las operaciones del exchange.
Exchanges centralizados vs. descentralizados: ¿qué diferencias existen en seguridad y riesgo?
Los exchanges centralizados custodian los fondos de los usuarios, lo que supone un mayor riesgo de hackeo, aunque ofrecen mayor liquidez y soporte. Los exchanges descentralizados permiten la autocustodia, eliminan el riesgo de contraparte y requieren que los propios usuarios gestionen su seguridad.
¿Cómo identificar y prevenir los riesgos de auditoría y las vulnerabilidades de código en smart contracts?
Las vulnerabilidades se detectan mediante herramientas profesionales de auditoría y revisiones de código. Para prevenir riesgos, se recomienda aplicar prácticas de programación segura, realizar auditorías regulares y corregir los problemas identificados mediante actualizaciones rápidas.
¿Qué sucede con los activos digitales de los usuarios si un exchange quiebra o es hackeado?
Los usuarios pueden perder el acceso a sus fondos y el control de sus claves privadas. La recuperación suele ser muy difícil o inviable. Los activos en plataformas centralizadas están expuestos a riesgos de brechas de seguridad, insolvencia y fallos operativos. Para una mayor protección, se recomienda utilizar wallets de autocustodia o hardware wallets.
* La información no pretende ser ni constituye un consejo financiero ni ninguna otra recomendación de ningún tipo ofrecida o respaldada por Gate.
