El ecosistema de las criptomonedas y la tecnología blockchain vuelve a tambalearse ante una oleada de vulnerabilidades que pone en entredicho los avances en seguridad de las redes de escalado, lo que afecta la confianza en el DeFi en general y de paso atrasa los objetivos de la Web3.
En lo que va del mes de junio de 2026, los rastreadores de seguridad de firmas como DefiLlama ya contabilizan más de 20 hackeos significativos a protocolos cripto. De hecho, la última semana ha sido especialmente devastadora, acumulando pérdidas multimillonarias en tres frentes distintos: el innovador protocolo de Capa 2 (L2) Taiko, el ecosistema descentralizado BnbLabubu y los remanentes de Aztec Connect.
Juntos, estos incidentes exponen que, sin importar la arquitectura técnica, el factor humano y los fallos de lógica contractual demuestran que la falta de seguridad sigue siendo el talón de Aquiles de la industria.
El golpe más mediático y técnicamente alarmante de la jornada lo recibió Taiko, el rollup de propósito general de Tipo 1 que se ha destacado en el sector por su arquitectura sin secuenciador centralizado, delegando la propuesta de bloques directamente en los validadores de la red principal de Ethereum (un Based Rollup).
Considerado uno de los proyectos más robustos en cuanto a su alineación con los valores de descentralización de Ethereum, Taiko sufrió un compromiso severo en su mecanismo de verificación del estado de la cadena (chain-state), resultando en el drenaje de aproximadamente 1.7 millones de dólares de sus bóvedas.
La firma de seguridad Blockaid fue la primera en emitir la alarma en la plataforma X, detectando un exploit en curso y pocas horas después, el propio equipo de Taiko confirmó la brecha mediante un aviso de seguridad urgente.
Según los informes técnicos preliminares, el atacante logró manipular el mecanismo que valida la consistencia de los datos entre la Capa 2 y la Capa 1, que al engañar a los contratos inteligentes del puente (bridge) del lado de Ethereum, el hacker pudo falsificar pruebas de estado, haciendo parecer legítimos eventos de retiro que nunca ocurrieron en la L2, logrando así liberar los activos custodiados.
⚠️ Security Notice
We have confirmed a compromise of Taiko’s chain state verification mechanism. As a result, the security assumptions of all bridges deployed on Taiko can no longer be relied upon.
We are actively coordinating with the Security Council and ecosystem partners to…
— Taiko.eth 🥁 (@taikoxyz) June 22, 2026
El equipo de Taiko reaccionó deteniendo los sistemas afectados en la medida de lo posible y coordinando acciones inmediatas con su Consejo de Seguridad. “Fuerte y urgentemente aconsejamos a todos los usuarios que retiren sus fondos de todos los puentes desplegados en Taiko de inmediato”, sentenció el comunicado oficial, reconociendo que las suposiciones de seguridad de la red se encuentran temporalmente rotas.
Los datos on-chain analizados por Lookonchain revelan que el atacante diversificó rápidamente el botín, moviendo 1.99 millones de tokens nativos TAIKO (con un valor de mercado depreciado de unos 189.000 dólares) hacia el exchange centralizado MEXC.
Mientras que una cantidad de 870.8 ETH (aproximadamente 1.52 millones de dólares) permanece inmóvil en cuatro direcciones públicas identificadas por los investigadores (encabezadas por los contratos 0x7506… y 0x5fbc…).
A petición de Taiko, plataformas centralizadas como Upbit y Bithumb congelaron temporalmente los depósitos de la moneda, cuyo precio ya experimenta mínimos históricos tras el anuncio. Lo peor de todo, es que esto no termina aquí.
这个 @BnbLabubu 被盗 $1.1M,但这个“被盗”似乎有点可疑:https://t.co/fLwzOjeOk4
被盗是因为 OLPC/LABUBU 交易对严重失衡导致。会失衡的原因是 OLPC 有一处“漏洞”被利用,_update 里满足条件时可以 burn 掉 value * decimalsValue 数量的 OLPC,正常来说 decimalsValue 是 1,但攻击前约 46 天被… https://t.co/HCozes57OL
— Cos(余弦)😶🌫️ (@evilcos) June 20, 2026
Porque mientras la comunidad de Ethereum asimilaba el impacto de Taiko, la BNB Chain sufría su propio revés financiero, en el protocolo descentralizado BnbLabubu, el cual fue víctima de un ataque de arbitraje y manipulación que drenó 1.1 millones de dólares de sus fondos de liquidez.
A diferencia del fallo criptográfico de Taiko, el colapso de BnbLabubu se debió a un error de lógica económica en sus contratos inteligentes, prácticamente un desajuste crítico en la lectura de las reservas de sus pools.
Los atacantes financieros utilizaron préstamos relámpago (flash loans) para inflar artificialmente el valor aparente de uno de los activos de la reserva, desequilibrando la tasa de intercambio interna del protocolo.
Al ejecutar transacciones masivas aprovechando este desajuste, lograron retirar una cantidad desproporcionada de colateral legítimo antes de que los oráculos de precios o los guardianes del protocolo pudieran pausar la actividad.
Este tipo de exploits resalta la persistente fragilidad de los protocolos DeFi que no implementan mecanismos rigurosos de resistencia a la manipulación de liquidez a corto plazo y para completar el sombrío panorama, el sector de la privacidad en Web3 también reportó pérdidas, esta vez provenientes del pasado.
By the Numbers
40 days elapsed between the TrustedVolumes exploit on May 7 and the second Aztec Connect drain on June 15.
Five publicly documented incidents across EVM and Solana ecosystems.
Approximately $16.9 million in reported losses.
Five distinct protocol categories… pic.twitter.com/hAJaagrCHa
— Zerodrift (@ZeroDriftSec) June 22, 2026
Aztec Connect, el protocolo de privacidad enfocado en DeFi que fue descontinuado formalmente por sus desarrolladores hace tres años, sufrió la extracción de 2.1 millones de dólares en criptoactivos que aún permanecían en sus contratos de depósito (smart contracts remanentes).
Un grupo de atacantes persistentes localizó una vulnerabilidad no detectada en el código heredado (legacy code) del sistema de pruebas de conocimiento cero (Zero-Knowledge) del contrato antiguo.
Al no contar con un equipo de desarrollo activo que monitorizara el código en tiempo real ni un interruptor de emergencia vigente, el atacante explotó el fallo de manera quirúrgica, drenando los fondos abandonados.
We are investigating a potential exploit affecting a deprecated Aztec payments product from 2021. ~$2m was transferred from the immutable smart contract in transaction:https://t.co/FS4JoNnfiJ
The deprecated product is an immutable stage 2 rollup that was sunset in 2022.…
— Aztec Labs (@AztecLabs_) June 18, 2026
Remanentes del equipo de desarrollo, dijeron en la red social X, que estaban “investigando una posible explotación que afecta a un producto de pagos Aztec obsoleto de 2021. Se transfirieron ~$2m desde el contrato inteligente inmutable en la transacción: https://etherscan.io/tx/0xab306cd2184d23b6ba3e151b10b3b9a0b81f211cc16f4f3b0c79f0b17a59c2b5
“El producto obsoleto es un rollup de etapa 2 inmutable que fue desactivado en 2022. Aztec Labs no posee claves de administrador ni control sobre el sistema; no puede ser pausado ni actualizado por nosotros. Este es un incidente separado de la explotación en el producto Aztec Connect obsoleto que ocurrió el 14 de junio de 2026. Compartiremos más actualizaciones en el momento oportuno”.
Este incidente reabre un debate crucial en la industria, sobre la responsabilidad a largo plazo y los riesgos de seguridad inherentes a los contratos inteligentes inmutables de proyectos que han sido formalmente dados de baja.
La pérdida combinada de casi 5 millones de dólares en menos de 24 horas pone de manifiesto que la madurez de la infraestructura Web3 sigue siendo una meta lejana, pero el caso de Taiko es especialmente doloroso para los teóricos del sector; porque demuestra que eliminar el riesgo de la centralización de los secuenciadores —una de las mayores críticas a redes como Arbitrum o Optimism— no exime a un rollup de sufrir catástrofes si la lógica de verificación de estado o la gestión de sus claves criptográficas (OpSec) fallan.
Con más de una veintena de hackeos registrados únicamente en el mes de junio de 2026, los puentes y los sistemas de mensajería inter-cadena reafirman su posición como la infraestructura más vulnerable de la economía digital.
La ventana de recuperación para Taiko y BnbLabubu depende ahora de la velocidad con la que los criptointercambios centralizados y las firmas de análisis forense on-chain logren bloquear las direcciones de los atacantes. Sin embargo, para la confianza de los usuarios e inversores, el daño ya está hecho.