El caos en Web3 golpea fuerte: millones drenados en solo dos semanas de 2026 – Informe

Extropy informa de importantes hackeos en criptomonedas en enero de 2026. Truebit pierde 26 millones de dólares, una brecha de datos en Ledger expone a los usuarios y las campañas de phishing aumentan.

Las dos primeras semanas de 2026 trajeron una ola de incidentes de seguridad en plataformas Web3.

Extropy publicó su informe Security Bytes documentando estos eventos. Los hallazgos muestran un panorama preocupante del panorama de amenazas actual.

Según el informe, los atacantes continuaron sus operaciones durante la temporada navideña. Los daños oscilaron desde exploits multimillonarios hasta campañas de phishing sofisticadas.

Truebit Protocol Pierde $26 Millones por Error en Código Legado

El primer gran incidente del año ocurrió en Truebit Protocol el 8 de enero. Un atacante drenó aproximadamente $26 millones en lo que Extropy llama un exploit de “código zombie”.

La vulnerabilidad provino de un desbordamiento de enteros en contratos inteligentes legados. Estos contratos más antiguos carecían de las protecciones nativas contra desbordamientos de Solidity modernas. El atacante acuñó millones de tokens TRU a prácticamente ningún costo.

Una vez creados, los tokens volvieron al protocolo. Toda la liquidez disponible desapareció en horas. El precio del token TRU colapsó casi un 100% en solo 24 horas.

Extropy señala que el atacante movió 8,535 ETH a través de Tornado Cash de inmediato. Las firmas de seguridad vincularon posteriormente la billetera a un exploit previo en Sparkle Protocol. Esto sugiere un reincidente que apunta específicamente a contratos abandonados.

El informe advierte que los contratos legados siguen siendo una vulnerabilidad crítica. Los proyectos deben monitorear o desactivar activamente el código antiguo.

TMXTribe Sufre Drenaje de $1.4M en 36 Horas

Entre el 5 y el 7 de enero, TMXTribe sufrió un ataque más lento pero igualmente devastador. La bifurcación de GMX en Arbitrum perdió $1.4 millones en 36 horas continuas.

Extropy describe el exploit como mecánicamente simple. Un bucle acuñaba tokens LP, los intercambiaba por stablecoins y luego los desestacaba repetidamente. Los contratos no verificados impidieron un análisis público del fallo exacto.

Lo que más preocupó a los investigadores fue la respuesta del equipo. Según el informe, los desarrolladores permanecieron activos en la cadena durante todo el ataque. Desplegaron nuevos contratos y ejecutaron actualizaciones durante el drenaje.

Sin embargo, nunca activaron una función de pausa de emergencia. En cambio, enviaron un mensaje de recompensa en la cadena al atacante. El ladrón lo ignoró, bridgió fondos a Ethereum y los lavó a través de Tornado Cash.

Extropy cuestiona si esto representa negligencia o algo peor. El informe enfatiza que los contratos no verificados son señales de alerta para los usuarios.

En los primeros días de enero ya hemos visto todo el espectro de modos de fallo en Web3: contratos zombie imprimiendo dinero, gobernanza convirtiéndose en guerra civil, bifurcaciones no verificadas sangrando lentamente, filtraciones en la cadena de suministro poniendo a los usuarios en riesgo físico, phishing que arma… https://t.co/ev1flKir3D

— Extropy.io (@Extropy) 13 de enero de 2026

Los Clientes de Ledger Enfrentan Riesgos de Seguridad Física

El 5 de enero, Ledger confirmó una brecha de datos que afecta a su base de clientes. La brecha se originó en el procesador de pagos Global-e, no en el hardware de Ledger.

Se comprometieron nombres de clientes, direcciones de envío e información de contacto. Extropy advierte que esto crea escenarios que los expertos en seguridad llaman “ataque de llave inglesa”. Los atacantes ahora poseen una lista de propietarios de billeteras de hardware de criptomonedas y sus ubicaciones.

El informe señala una amarga ironía. Ledger fue criticado anteriormente por cobrar por funciones de seguridad. Ahora, su procesador de pagos ha expuesto a los usuarios a peligro físico sin costo alguno.

Extropy aconseja a los usuarios esperar intentos de phishing sofisticados. Los datos robados permiten a los atacantes establecer confianza falsa mediante comunicaciones personalizadas.

_Lectura relacionada: _****Resumen de incidentes de seguridad relacionados con las billeteras de hardware Ledger

Campaña de Phishing en MetaMask Drena $107,000

El investigador de seguridad ZachXBT alertó sobre una operación de phishing sofisticada dirigida a usuarios de MetaMask. La campaña ha drenado más de $107,000 de cientos de billeteras.

Las víctimas recibieron correos electrónicos profesionales que afirmaban una actualización obligatoria para 2026. Los mensajes usaron plantillas de marketing legítimas y presentaban un logo de MetaMask modificado. Extropy describe el diseño del zorro con “sombrero de fiesta” como festivo y desconcertante.

La estafa evitó pedir frases semilla. En cambio, solicitó a los usuarios que firmaran aprobaciones de contratos. Esto permitió a los atacantes mover tokens ilimitados desde las billeteras de las víctimas.

Al mantener los robos individuales por debajo de $2,000, la operación evitó alertas mayores. Extropy enfatiza que las firmas pueden ser tan peligrosas como las claves filtradas.