#Gate广场五月交易分享

Las pérdidas en DeFi alcanzaron $600M en abril — El peor mes en la historia de la seguridad en criptomonedas

Abril de 2026 ahora se confirma como el mes más destructivo en la historia de las finanzas descentralizadas. DeFiLlama registró entre 28 y 30 incidentes de explotación separados con pérdidas que superaron los 635 millones de dólares, mientras que el informe mensual final de CertiK situó el total en aproximadamente 651 millones de dólares, la cifra más alta desde marzo de 2022, cuando la industria perdió aproximadamente 715 millones de dólares. Este mes único borró 3.7 veces el total del primer trimestre de 2026, que fue de aproximadamente 164 millones de dólares, y representó un aumento asombroso del 1,140 % respecto a las pérdidas de 52.2 millones de dólares en marzo. La etiqueta #DeFiLossesTop600MInApril está confirmada, realidad verificada por datos.

Dos Megahacks impulsaron el 93 % de las pérdidas de abril

Drift Protocol (1 de abril): ~285 millones de dólares robados. TRM Labs rastreó el ataque hasta el grupo norcoreano UNC4736 (Citrine Sleet), que pasó seis meses ingeniería social a los miembros del equipo de Drift en Solana. El atacante obtuvo control de una clave de firma privilegiada de AWS, acuñó casi 80 millones de tokens USR contra un colateral mínimo y drenó USDC, JLP, SOL y otros activos de los pools de almacenamiento.

KelpDAO (18 de abril): ~293 millones de dólares robados. La causa raíz fue una configuración catastrófica de la Red Verificadora Descentralizada (DVN) 1-de-1 en el puente LayerZero V2 de KelpDAO. El atacante, atribuido al Grupo Lazarus (TraderTraitor), accedió a dos nodos verificadores, inyectó mensajes falsos entre cadenas y luego lanzó un ataque DDoS contra nodos RPC legítimos para forzar la conmutación por error a infraestructura controlada por el atacante. Drenaron 116,500 rsETH. LayerZero confirmó que una configuración multi-DVN habría prevenido esto por completo. En conjunto, estos dos ataques representaron el 93 % de las pérdidas totales en dólares de abril y ambos entraron en el top 10 de los mayores hackeos en criptomonedas desde 2021.

El Efecto Cascada de Aave: $13B Compresión del TVL en DeFi en 48 Horas

El atacante de KelpDAO depositó 249.7 millones de dólares en rsETH robados como colateral en Aave V3 y V4 en Ethereum y Arbitrum, tomando prestados 83,427 WETH y wstETH (~228.2 millones de dólares en activos reales) contra tokens no respaldados. Esto creó aproximadamente 196 millones de dólares en deuda incobrable en Aave. Aave congeló los mercados de rsETH en horas, pero el pánico se propagó: 8.45 mil millones de dólares en depósitos huyeron de Aave en 48 horas, provocando una caída de 13,21 mil millones de dólares en el TVL total de DeFi, que pasó de 99.497 mil millones a 86.286 mil millones, una compresión del 13 % en dos días. El token AAVE cayó un 16 %. Solo el 24 de abril, Ethereum vio salidas de DeFi por 1.6 mil millones de dólares.

Corea del Norte: 76 % de todas las pérdidas por hackeo en criptomonedas en 2026

TRM Labs informa que los hackers respaldados por el estado norcoreano representan el 76 % de todas las pérdidas por hackeos y estafas en criptomonedas en 2026, con 575 millones de dólares robados en solo 18 días de Drift y KelpDAO. Sus robos totales atribuidos desde 2017 superan los 6 mil millones de dólares. El subdirector de CISO de BeyondTrust declaró: "Corea del Norte robó 575 millones de dólares en 18 días porque la infraestructura tenía puntos únicos de confianza, sin validación de procedencia y estructuras de gobernanza que no pudieron responder a la velocidad del ataque."

Cambio en la Metodología de Ataques y Complicaciones en la Recuperación

Los exploits de abril revelan un cambio de errores en contratos inteligentes a amenazas de múltiples capas que combinan ingeniería social, spoofing de puentes y compromiso de infraestructura. Cuatro exploits menores también apuntaron a componentes de puentes. Los puentes entre cadenas comercializados como descentralizados siguen siendo puntos únicos de fallo. La recuperación enfrenta nuevos obstáculos: el investigador en cadena ZachXBT expuso que la firma de abogados Gerstein Harrow LLP presentó reclamaciones fraudulentas por más de 71 millones de dólares en ETH congelados de KelpDAO, intentando priorizar un fallo de 2015 sobre las víctimas reales del hackeo de 2026. Se sospecha que el Grupo Lazarus movió $175M en ETH a pesar de que Arbitrum congeló 71 millones de dólares.

Abril de 2026 demostró tres cosas: las configuraciones de puente de un solo DVN son superficies catastróficas de ataque, los tokens de restaking líquidos como colateral crean riesgos sistémicos que pueden comprimir el TVL de $13B en 48 horas, y los atacantes estatales ahora operan con meses de ingeniería social combinados con exploits técnicos a escala de infraestructura. Las configuraciones multi-DVN, la validación de procedencia y la auditoría continua impulsada por IA son requisitos mínimos de supervivencia. Las pérdidas están verificadas. Las vulnerabilidades estructurales están documentadas. A menos que DeFi re-ingeniere fundamentalmente su seguridad