Los hackeos de DeFi caen un 80% pero los fallos multi-chain emergen como nuevo riesgo

Las finanzas descentralizadas se han vuelto mucho más seguras en los últimos seis años. Una nueva revisión de las pérdidas de protocolos desde 2020 hasta 2025 respalda esa afirmación con cifras contundentes.

Las pérdidas de DeFi a nivel de la industria alcanzaron su punto máximo en $2.62 mil millones en 2022 y cayeron aproximadamente un 80% hasta $534 millones en 2024. Los hackeos de puentes entre cadenas que antes generaban titulares de miles de millones de dólares ahora representan una pequeña fracción de los totales anuales. El exploit típico de hoy causa aproximadamente una cuarta parte del daño que causaba en el pico.

Las pérdidas cayeron a pesar de más cadenas y usuarios

Lo alentador de los datos es que los ataques baratos y repetibles han sido eliminados en su mayoría. Las pérdidas totales cayeron un 80% en dos años, incluso mientras el TVL de DeFi seguía subiendo. La pérdida mediana por incidente cayó de $6 millones en 2022 a $1.5 millones en 2025, una disminución del 75%.

El número de incidentes únicos aumentó a 83 en 2025. Están ocurriendo más hackeos, pero cada uno causa mucho menos daño. Eso es aproximadamente lo que se supone que debe parecer un campo de seguridad en maduración.

Los puentes entre cadenas fueron la vulnerabilidad definitoria en 2021 y 2022. Solo en ese segundo año, nueve exploits de puentes resultaron en $1.9 mil millones en pérdidas. El Ronin Bridge representó por sí solo una pérdida de $624 millones. Los hackeos de puentes representaron el 73% de todas las pérdidas de DeFi ese año. Para 2025, la participación de los puentes se había desplomado al 3%. Los mecanismos de verificación mejorados, los conjuntos de validadores descentralizados y un cambio hacia la mensajería Cross-chain nativa ayudaron a reducir esa categoría.

Los ataques de flash loan siguieron el mismo camino descendente. Representaron el 54% de todas las pérdidas en 2020. Para 2025, representaban menos del 1%. Los protocolos adoptaron defensas adaptadas a ese ataque: precios promedio ponderados por tiempo, integraciones de oráculos de Chainlink, guardas de reentrada y diseños que asumen que un atacante puede manipular precios dentro de una sola transacción atómica.

Los compromisos de claves privadas vieron una disminución similar. Cayeron del 28.7% de las pérdidas en 2022 al 8.1% en 2025. Cada una de estas categorías se redujo porque la industria reconoció un patrón repetible y construyó respuestas estandarizadas.

Lo que queda es más difícil de defender

Cerrar los ataques genéricos dejó atrás una categoría mucho más difícil. En 2025, el 89.1% de las pérdidas de DeFi provino de exploits de lógica de protocolo. Estas son fallas a nivel de código específicas de cómo fue diseñada una aplicación. Un hackeo de puente involucra suposiciones de confianza reconocibles. Un ataque de flash loan es parte de una familia conocida de técnicas. Ambos pueden defenderse con patrones reutilizables.

Un error de lógica de protocolo es personalizado por naturaleza. Surge de las matemáticas particulares, los controles de acceso o las opciones de composabilidad de una sola base de código. Es difícil defenderse sistemáticamente porque cada instancia es su propio rompecabezas.

El despliegue multi-chain convierte los errores en crisis

El despliegue multi-chain convierte uno de estos errores personalizados en una crisis en toda regla. Los principales protocolos a menudo implementan el mismo código en Ethereum, Base, Arbitrum, Polygon, OP Mainnet y Sonic. Una sola falla puede drenar fondos en cada red que lo ejecuta al mismo tiempo.

Vimos esto en noviembre de 2024 cuando los V2 Composable Stable Pools de Balancer fueron vaciados de aproximadamente $128 millones en menos de media hora en seis blockchains simultáneamente. Según Check Point Research, el atacante explotó una falla de precisión aritmética en las matemáticas invariantes de los pools. Empujaron los balances de tokens hacia un límite de redondeo y luego encadenaron swaps por lotes hasta que esos pequeños errores se multiplicaron en un drenaje total.

Los contratos con la misma vulnerabilidad habían sido desplegados en Ethereum, Arbitrum, Base, Polygon, Sonic y OP Mainnet. El exploit los alcanzó a todos a la vez porque la falla estaba integrada en el propio código, y ese código había sido copiado en todas partes. Once auditorías separadas habían fallado en detectarlo.

El informe de ImmuneFi traza una línea directa desde el exploit de Poly Network de aproximadamente $611 millones en 2021 hasta Balancer en 2025. Poly Network fue un fallo en el punto de conexión entre sistemas. Balancer fue la misma lógica fallando de manera idéntica en redes que comparten código, rutas de firmantes y suposiciones de verificación.

La medición de la seguridad ha cambiado

Una vez que una cadena se convierte en parte del mapa de despliegue predeterminado para los principales protocolos, absorbe la superficie de riesgo de todo lo que aloja. El informe atribuye la pérdida total de un exploit multi-chain a cada cadena afectada. Los participantes en las seis redes estuvieron expuestos al impacto total.

Las cifras de hackeos de 2025 para Polygon, OP Mainnet, Base y Sonic están fuertemente influenciadas por la cascada de Balancer. El informe excluye por completo los fallos de exchanges centralizados. El mayor robo individual del año, el hackeo de Bybit de $1.5 mil millones que el FBI atribuyó a Corea del Norte, se considera un fallo de custodia en lugar de uno de protocolo.

En términos de pérdida sobre TVL, el nivel más seguro entre los principales ecosistemas fue Ethereum con alrededor del 0.42%, Solana con 0.42% y BNB Chain con 0.33%. Estos tres mayores ecosistemas de DeFi sugieren que la escala y la seguridad han ido mejorando juntas.

Una pérdida ahora puede ocurrir en una aplicación que lleva una falla importada de otro lugar. La conveniencia que hace atractivas a las aplicaciones multi-chain es lo que hace que este error escale de uno local a uno compartido. Crypto puso en marcha cadenas separadas en parte para evitar depender de un solo sistema. Ejecutar el mismo puñado de protocolos populares en todas ellas ha reconstruido la concentración de la que esas cadenas pretendían escapar.

El próximo gran incidente puede parecer pequeño el día que ocurra, un solo error de lógica en un protocolo ampliamente desplegado. Su verdadero tamaño se revelará solo cuando la gente se dé cuenta de que el mismo código vulnerable estaba en media docena de redes todo el tiempo.

The post DeFi hacks drop 80% but multi-chain flaws emerge as new risk appeared first on TheCryptoUpdates.