WowStack Docs Tutoriales independientes de terceros sobre depósitos / C2C / pagos en Binance — cada paso es reproducible
EN ES FR JP KR

Análisis de los 10 mayores hackeos históricos de puentes cross-chain: Qué trampas deben evitar los usuarios

Publicado 2026-04-21 14 min de lectura Puentes cross-chain

Si los puentes cross-chain (cadenas cruzadas) son las autopistas de DeFi, también son la mayor "escena de accidentes" en la historia de DeFi. Entre 2021 y 2024, el valor total robado de los puentes cross-chain superó los 3.000 millones de dólares. Estos incidentes no son solo términos técnicos abstractos; detrás de ellos hay lecciones que los usuarios comunes pueden usar como referencia. Este artículo repasa algunos de los casos más clásicos de robos en puentes. Preparación de la cuenta: sitio oficial de Binance, app oficial de Binance, tutorial de instalación en iOS.

I. Ronin Bridge (marzo de 2022, 625 millones de dólares)

Lo sucedido

El puente Ronin, propiedad de Axie Infinity, utilizaba una multifirma de 9 validadores. Los atacantes consiguieron 5 de las claves privadas mediante ingeniería social y autorizaron retiros masivos.

Lecciones

  • Umbral de multifirma demasiado bajo: Un umbral de 5 de 9 = 55%, vulnerable al phishing.
  • Concentración de validadores: 5 estaban controlados por una sola empresa, Sky Mavis.
  • Falta de monitoreo y alertas on-chain: Los 625 millones de dólares salieron y no se descubrió hasta 6 días después.

Qué deben hacer los usuarios

  • Elegir puentes con umbrales superiores a 7 de 10 y validadores formados por múltiples instituciones.
  • Estar atentos a los paneles de control en tiempo real del TVL on-chain del puente.

II. Wormhole (febrero de 2022, 326 millones de dólares)

Lo sucedido

El contrato del puente Solana ↔ ETH tenía una vulnerabilidad en la verificación de firmas. El atacante falsificó un mensaje "aprobado" y acuñó 120.000 wETH de la nada.

Lecciones

  • Error en el código de verificación de firmas: Durante una actualización se omitió una comprobación de función deprecated (obsoleta).
  • La auditoría no cubrió esa ruta: El informe de auditoría había marcado ese módulo como de "bajo riesgo".

Qué deben hacer los usuarios

  • Prestar atención a todos los módulos marcados como "deprecated" en los informes de auditoría.
  • No usar el puente durante la primera semana después de una actualización.

III. Nomad (agosto de 2022, 190 millones de dólares)

Lo sucedido

Tras una actualización del contrato, el valor raíz por defecto pasó a ser todo ceros, lo que provocó que cualquiera pudiera falsificar mensajes autenticados para retirar fondos. Al descubrirse, se formó un "saqueo libre on-chain" (free-for-all), en el que cientos de billeteras participaron en el robo.

Lecciones

  • Error de inicialización: El valor raíz no se configuró tras la actualización.
  • Saqueo colectivo: El código abierto fue copiado y atacado inmediatamente.

Qué deben hacer los usuarios

  • Observar durante la primera semana tras la actualización de un puente.
  • Configurar alertas de anomalías en el TVL.

IV. Harmony Horizon (junio de 2022, 100 millones de dólares)

Lo sucedido

Multifirma 2 de 5. El atacante obtuvo 2 claves privadas y rompió la seguridad.

Lecciones

  • Umbral de multifirma gravemente insuficiente.
  • Gestión descuidada de claves privadas: Los desarrolladores las guardaban en texto plano.

Qué deben hacer los usuarios

  • Poner directamente en la lista negra los puentes que usen multifirmas de umbrales bajos como "2 de 5" o "3 de 5".

V. Multichain (Anyswap) (julio de 2023, 126 millones de dólares)

Lo sucedido

El CEO desapareció, y fue acusado de tener todas las claves privadas del puente; los fondos fueron transferidos en su totalidad.

Lecciones

  • Extrema centralización: Multifirma en apariencia, pero con control de punto único en la práctica.
  • Falta de transparencia del equipo: La verdadera identidad del CEO era ambigua.

Qué deben hacer los usuarios

  • Elegir puentes con equipos públicos y custodia de claves privadas descentralizada.
  • No dejar fondos de la noche a la mañana en puentes centralizados.

VI. Poly Network (agosto de 2021, 600 millones de dólares, posteriormente devueltos)

Lo sucedido

Se explotó una vulnerabilidad de verificación de permisos en el contrato. El atacante eludió la firma para llamar directamente a la función de retiro. Más tarde, el atacante devolvió el dinero.

Lecciones

  • Falta de verificación múltiple en funciones de permisos importantes.
  • El factor suerte de un sombrero blanco (white hat) vs. un sombrero negro (black hat): La próxima vez tal vez no haya tanta suerte.

Qué deben hacer los usuarios

  • Elegir puentes que tengan timelock (bloqueo de tiempo) para la llamada de permisos.

VII. Qubit Bridge (enero de 2022, 80 millones de dólares)

Lo sucedido

Faltaba una verificación de dirección cero en el contrato de depósito. El atacante falsificó depósitos con una billetera 0x000... obteniendo wETH de la nada en el lado BSC.

Lecciones

  • Omisión en la auditoría de condiciones de borde.

VIII. Ronin (hackeado de nuevo en 2024, 12 millones de dólares)

Tras dos años, volvió a ocurrir un incidente. El motivo fue la fuga de la clave privada de un nodo RPC Gas-free recién implementado.

Lecciones

  • Que un proyecto haya caído en una gran trampa antes no significa que sea seguro la segunda vez.
  • Seguir continuamente las últimas novedades en auditorías.

IX. Orbit Chain (enero de 2024, 82 millones de dólares)

Lo sucedido

De los 7 validadores multifirma, 3 firmaron transacciones sospechosas, sospechándose de un ataque interno (insider job).

Lecciones

  • El riesgo de ataques internos nunca debe ser ignorado.
  • Multifirma ≠ Seguridad.

X. Rug pulls en otros puentes pequeños

Cada año, varios puentes nuevos lanzan su token y de repente desaparecen (rug pull). Características comunes:

  • Equipo anónimo.
  • Informes de auditoría falsificados.
  • TVL que sube y baja bruscamente.

XI. Lección general: Las 7 reglas de oro para usuarios

  1. No dejes grandes sumas de dinero en los contratos del puente a largo plazo.
  2. El umbral de multifirma debe ser suficientemente alto (≥ 7 de 10).
  3. Validadores descentralizados (múltiples instituciones).
  4. Prioriza los puentes de verificación de clientes ligeros (light clients) o ZK.
  5. Auditorías de ≥ 2 firmas y sin vulnerabilidades "High" (altas) sin corregir.
  6. Presta atención a anomalías en el TVL on-chain.
  7. Observa durante 1 semana tras la actualización del puente.

XII. Palabras finales

La esencia de los incidentes de hackeos en puentes casi nunca es un "ataque completamente nuevo", sino la repetición de los mismos errores: fuga de claves privadas de multifirma, errores de inicialización, vulnerabilidades de verificación de firmas y acciones maliciosas internas. Usa estos diez casos como una "lista de ejemplos a no seguir"; la próxima vez que evalúes un puente, contrástalos uno a uno y podrás evitar el 90% de las trampas.

Empieza ya

Inicia tu camino en Binance

Descarga la app oficial, completa el KYC y compra tu primera cripto con seguridad.

Descargar app Binance Visitar Binance
Acceso oficialÍndice de espejosVerificar el sitioDescarga de la appInstalación realCompra C2CDepósito fiatDepósito USDTRetirosMétodos de pagoAcceso oficialÍndice de espejosVerificar el sitioDescarga de la appInstalación realCompra C2CDepósito fiatDepósito USDTRetirosMétodos de pago