Caos en Web3 golpea duro: Millones drenados en solo dos semanas de 2026 – Informe

Extropy informa sobre importantes hackeos de criptos en enero de 2026. Truebit pierde $26M, la filtración de datos de Ledger expone a usuarios, y los ataques de phishing aumentan.

Las primeras dos semanas de 2026 trajeron una ola de incidentes de seguridad en las plataformas de Web3. 

Extropy publicó su informe Security Bytes documentando estos eventos. Los hallazgos retratan un panorama preocupante del panorama actual de amenazas.

Según el informe, los atacantes continuaron sus operaciones durante la temporada navideña. El daño varió desde exploits multimillonarios hasta sofisticadas campañas de phishing.

Truebit Protocol Pierde $26 Millones por Falla en Código Heredado

El primer incidente importante del año golpeó a Truebit Protocol el 8 de enero. Un atacante drenó aproximadamente $26 millones en lo que Extropy llama un exploit de "código zombie".

La vulnerabilidad se originó en un desbordamiento de enteros en contratos inteligentes heredados. Estos contratos más antiguos carecían de las protecciones nativas contra desbordamientos de Solidity moderno. El atacante acuñó millones de tokens TRU prácticamente sin costo alguno.

Una vez creados, los tokens inundaron el protocolo nuevamente. Toda la liquidez disponible desapareció en horas. El precio del token TRU colapsó casi un 100% en solo 24 horas.

Extropy señala que el atacante movió 8,535 ETH a través de Tornado Cash inmediatamente. Las empresas de seguridad posteriormente vincularon la billetera a un exploit anterior de Sparkle Protocol. Esto sugiere un reincidente que apunta específicamente a contratos abandonados.

El informe advierte que los contratos heredados siguen siendo una vulnerabilidad crítica. Los proyectos deben monitorear o depreciar activamente el código antiguo.

TMXTribe Observa un Drenaje de $1.4M Durante 36 Horas

Entre el 5 y el 7 de enero, TMXTribe sufrió un ataque más lento pero igualmente devastador. El fork de GMX en Arbitrum perdió $1.4 millones durante 36 horas continuas.

Extropy describe el exploit como mecánicamente simple. Un bucle acuñaba tokens LP, los intercambiaba por stablecoins y luego los retiraba repetidamente. Los contratos no verificados impidieron el análisis público de la falla exacta.

Lo que más preocupó a los investigadores fue la respuesta del equipo. Según el informe, los desarrolladores permanecieron activos on-chain durante todo el ataque. Desplegaron nuevos contratos y ejecutaron actualizaciones durante el drenaje.

Sin embargo, nunca activaron una función de pausa de emergencia. El equipo envió un mensaje de recompensa on-chain al atacante en su lugar. El ladrón lo ignoró, transfirió fondos a Ethereum y los lavó a través de Tornado Cash.

Extropy cuestiona si esto representa negligencia o algo peor. El informe enfatiza que los contratos no verificados sirven como señales de alerta para los usuarios.

Los Clientes de Ledger Enfrentan Riesgos de Seguridad Física

El 5 de enero, Ledger confirmó una filtración de datos que afectó a su base de clientes. La filtración se originó en el procesador de pagos Global-e, no en el hardware de Ledger.

Los nombres de clientes, direcciones de envío e información de contacto fueron comprometidos. Extropy advierte que esto crea lo que los expertos en seguridad llaman escenarios de "ataque con llave inglesa". Los atacantes ahora poseen una lista de propietarios de billeteras de hardware de criptos y sus ubicaciones.

El informe señala una amarga ironía. Ledger anteriormente enfrentó críticas por cobrar por funciones de seguridad. Ahora su procesador de pagos ha expuesto a los usuarios a peligro físico sin costo alguno.

Extropy aconseja a los usuarios que esperen sofisticados intentos de phishing. Los datos robados permiten a los atacantes establecer una falsa confianza a través de comunicaciones personalizadas.

Lectura relacionada: Un Resumen de Incidentes de Seguridad en Torno a las Billeteras de Hardware Ledger

Campaña de Phishing de MetaMask Drena $107,000

El investigador de seguridad ZachXBT señaló una sofisticada operación de phishing dirigida a usuarios de MetaMask. La campaña ha drenado más de $107,000 de cientos de billeteras.

Las víctimas recibieron correos electrónicos profesionales que afirmaban una actualización obligatoria de 2026. Los mensajes utilizaban plantillas de marketing legítimas y presentaban un logo de MetaMask modificado. Extropy describe el diseño del zorro con "gorro de fiesta" como engañosamente festivo.

La estafa evitó pedir frases semilla. En su lugar, solicitó a los usuarios que firmaran aprobaciones de contratos. Esto permitió a los atacantes mover tokens ilimitados de las billeteras de las víctimas.

Al mantener los robos individuales por debajo de $2,000, la operación evitó alertas importantes. Extropy enfatiza que las firmas pueden ser tan peligrosas como las claves filtradas.

La publicación El Caos de la Web3 Golpea Fuerte: Millones Drenados en Solo Dos Semanas de 2026 – Informe apareció primero en Live Bitcoin News.