Informe anual de seguridad Web3 2025: los ataques a la cadena de suministro se convierten en la mayor amenaza

Autor: Beosin

Prefacio

Este informe de investigación ha sido iniciado por la Alianza de Seguridad Blockchain y co-creado por los miembros de la alianza Beosin y Footprint Analytics, con el objetivo de explorar de manera integral la situación de seguridad global en blockchain para 2025. A través del análisis y evaluación del estado actual de la seguridad en blockchain a nivel mundial, el informe revelará los desafíos y amenazas de seguridad existentes y ofrecerá soluciones y mejores prácticas. La seguridad y regulación en blockchain son cuestiones clave para el desarrollo de la era Web3. Mediante un estudio profundo y discusión en este informe, podemos entender mejor y responder a estos desafíos, promoviendo la seguridad y el desarrollo sostenible de la tecnología blockchain.

1. Resumen de la situación de seguridad Web3 en 2025

Según la plataforma Alert de Beosin, una empresa de tecnología de seguridad y cumplimiento en blockchain, en 2025 las pérdidas totales en el ámbito Web3 debido a ataques de hackers, phishing y Rug Pulls por parte de los proyectos alcanzaron los 3,375 millones de dólares. Se registraron un total de 313 incidentes de seguridad importantes en blockchain, de los cuales 191 fueron ataques de hackers con pérdidas aproximadas de 3,187 millones de dólares; los Rug Pulls de los proyectos sumaron pérdidas de unos 11,5 millones de dólares; y los ataques de phishing sumaron 113 incidentes con pérdidas de aproximadamente 177 millones de dólares.

El primer trimestre de 2025 fue el de mayores pérdidas, siendo la mayor parte atribuida a un ataque de hackers en Bybit. Aunque las pérdidas por ataques de hackers disminuyeron trimestre a trimestre, en comparación con 2024 aumentaron significativamente, con un incremento del 77.85%; las pérdidas por phishing y Rug Pulls en proyectos disminuyeron notablemente respecto a 2024, con una reducción aproximada del 69.15 % en phishing y del 92.21 % en Rug Pulls.

Los tipos de proyectos atacados en 2025 incluyen DeFi, CEX, cadenas públicas, puentes cross-chain, NFT, plataformas de Memecoin, carteras, navegadores, paquetes de código de terceros, infraestructura, robots MEV, entre otros. DeFi sigue siendo el tipo de proyecto con mayor frecuencia de ataques, con 91 ataques que causaron pérdidas de aproximadamente 620 millones de dólares. Los CEX representan el mayor monto total de pérdidas, con 9 ataques que sumaron aproximadamente 1,765 millones de dólares, lo que representa el 52.30 % del total de pérdidas.

Ethereum continúa siendo la cadena pública con mayores pérdidas en 2025, con 170 incidentes de seguridad que causaron aproximadamente 2,254 millones de dólares en pérdidas, representando el 66.79 % del total anual.

En cuanto a las técnicas de ataque, el incidente en Bybit fue causado por un ataque a la cadena de suministro que generó pérdidas de aproximadamente 1,440 millones de dólares, representando el 42.67 % del total. Además, la explotación de vulnerabilidades en contratos inteligentes fue la técnica más frecuente, con 62 de los 191 incidentes, representando un 32.46 %.

2. Las 10 principales incidencias de seguridad en 2025

En 2025, se registraron 3 incidentes de seguridad con pérdidas superiores a mil millones de dólares: Bybit (14,40 mil millones), Cetus Protocol (2,24 mil millones) y Balancer (1,16 mil millones), seguidos por Stream Finance (93 millones), la ballena de Bitcoin (91 millones), Nobitex (90 millones), Phemex (70 millones), UPCX (70 millones), usuarios de Ethereum (50 millones), Infini (49,5 millones).

A diferencia de años anteriores, en las 10 principales incidencias de seguridad de este año se registraron 2 casos de pérdidas significativas para usuarios individuales, debido a ataques de ingeniería social/phishing. Aunque estas formas de ataque no representan las mayores pérdidas en monto, su frecuencia ha ido en aumento cada año, convirtiéndose en una gran amenaza para los usuarios particulares.

3. Tipos de proyectos atacados

Las plataformas centralizadas son las que registran las mayores pérdidas en monto

En 2025, las plataformas centralizadas fueron las más afectadas, con 9 ataques que causaron pérdidas de aproximadamente 1,765 millones de dólares, representando el 52.30 % del total de pérdidas. La plataforma con mayores pérdidas fue Bybit, con aproximadamente 1,440 millones de dólares. Otras con pérdidas significativas incluyen Nobitex (unos 900 millones), Phemex (700 millones), BtcTurk (48 millones), CoinDCX (44 millones), SwissBorg (41 millones) y Upbit (36 millones).

DeFi sigue siendo el tipo de proyecto con mayor frecuencia de ataques, con 91 incidentes que causaron pérdidas de aproximadamente 620 millones de dólares, siendo la segunda categoría en monto de pérdidas. Entre los proyectos DeFi más afectados están Cetus Protocol, con un robo de aproximadamente 224 millones de dólares, que representa el 36.07 % del total de fondos robados en DeFi; Balancer con pérdidas de unos 116 millones. Otros proyectos DeFi con pérdidas relevantes son Infini (unos 49.5 millones), GMX (unos 40 millones), Abracadabra Finance (13 millones), Cork Protocol (unos 12 millones), Resupply (unos 9.6 millones), zkLend (unos 9.5 millones), Ionic (unos 8.8 millones), Alex Protocol (unos 8.37 millones).

4. Estado de pérdidas en diferentes cadenas

Ethereum es la cadena con mayores pérdidas y más incidentes de seguridad

Al igual que en años anteriores, Ethereum sigue siendo la cadena pública con mayores pérdidas y la mayor cantidad de incidentes de seguridad. Con 170 incidentes en Ethereum, las pérdidas alcanzaron aproximadamente 2,254 millones de dólares, representando el 66.79 % del total anual.

La segunda cadena en número de incidentes es BNB Chain, con 64 incidentes que causaron pérdidas de aproximadamente 8.983 millones de dólares. Aunque en BNB Chain los ataques en la cadena son frecuentes y las pérdidas relativamente menores, en comparación con 2024 tanto en número de incidentes como en monto de pérdidas, ambos aumentaron significativamente, con un incremento del 110.87 %.

Base ocupa el tercer lugar en número de incidentes, con 20 eventos de seguridad, seguida por Solana con 19.

5. Análisis de técnicas de ataque

La explotación de vulnerabilidades en contratos inteligentes es la técnica más frecuente

De los 191 incidentes, 62 provinieron de la explotación de vulnerabilidades en contratos, representando un 32.46 %, con pérdidas totales de 556 millones de dólares, siendo la categoría de ataque con mayores pérdidas después del ataque en Bybit por la cadena de suministro.

Dentro de las vulnerabilidades en contratos, las más dañinas fueron las de lógica de negocio, con pérdidas por 464 millones de dólares. Las tres vulnerabilidades más comunes en contratos son: lógica de negocio (53 incidentes), control de acceso (7 incidentes) y defectos en algoritmos (5 incidentes).

Este año se registraron 20 incidentes de filtración de claves privadas, con pérdidas aproximadas de 180 millones de dólares, una reducción significativa en comparación con el año pasado en número de incidentes y pérdidas. Las plataformas, proyectos y usuarios han aumentado su conciencia en la protección de claves privadas.

6. Análisis de incidentes de seguridad típicos

6.1 Análisis del incidente de 2.24 mil millones de dólares en Cetus Protocol

Resumen del incidente

El 22 de mayo de 2025, el DEX Cetus Protocol en el ecosistema Sui fue atacado, debido a un error en la implementación de la operación de desplazamiento a la izquierda en una biblioteca de código abierto. Tomando como ejemplo una de las transacciones de ataque (https://suivision.xyz/txblock/DVMG3B2kocLEnVMDuQzTYRgjwuuFSfciawPvXXheB3x?tab=Overview), los pasos simplificados son:

1. Activar un préstamo flash: el atacante toma prestados 10 millones de haSUI mediante un préstamo flash.

2. Crear una posición de liquidez: abren una nueva posición con un rango de precios [300000, 300200].

3. Aumentar liquidez: usando solo 1 unidad de haSUI, incrementan la liquidez, obteniendo un valor de liquidez de hasta 10,365,647,984,364,446,732,462,244,378,333,008.

4. Retirar liquidez: retiran inmediatamente la liquidez de varias transacciones para agotar el pool.

5. Reembolsar el préstamo flash: devuelven el préstamo y conservan aproximadamente 5.7 millones de SUI como ganancia.

Análisis de vulnerabilidades

La causa principal del ataque fue un error en la función get_delta_a, específicamente en la implementación de checked_shlw, que falló en la comprobación de desbordamiento. Con pocos tokens, el atacante puede intercambiar una gran cantidad de activos en el pool, logrando así el ataque.

Como se muestra en la figura, checked_shlw se usa para determinar si un desplazamiento a la izquierda en u256 de 64 bits provocará desbordamiento. Entradas menores a 0xffffffffffffffff << 192 evaden la detección de desbordamiento, pero al desplazarse 64 bits, la entrada puede superar el valor máximo de u256 (desbordamiento), y checked_shlw aún devolverá false, indicando que no hubo desbordamiento. Esto provoca una subestimación grave en la cantidad de tokens necesarios en cálculos posteriores.

Además, en Move, la seguridad en operaciones aritméticas busca prevenir desbordamientos y subdesbordamientos, ya que estos pueden causar comportamientos inesperados o vulnerabilidades. Específicamente: si la suma o multiplicación exceden el rango del tipo entero, el programa se detiene; si el divisor es cero, también se detiene. Sin embargo, el desplazamiento a la izquierda (<<) no detiene en caso de desbordamiento, lo que significa que incluso si el número de bits desplazados excede la capacidad del tipo entero, el programa no termina, pudiendo producir valores incorrectos o comportamientos impredecibles.

6.2 Análisis del incidente de 1.6 millones de dólares en Balancer

El 3 de noviembre de 2025, el protocolo Balancer v2 fue atacado, causando pérdidas en varias cadenas por un total de aproximadamente 1,16 mil millones de dólares, incluyendo su fork. Tomando como ejemplo la transacción de ataque en Ethereum: 0x6ed07db1a9fe5c0794d44cd36081d6a6df103fab868cdd75d581e3bd23bc9742

1. El atacante inicia la operación mediante la función de intercambio en lote, usando BPT para intercambiar en gran volumen tokens de liquidez del pool, reduciendo así las reservas de tokens de liquidez.

2. Luego realiza intercambios de tokens de liquidez (osETH/WETH).

3. Después intercambia los tokens de liquidez de vuelta a BPT y repite estas operaciones en varios pools.

4. Finalmente realiza retiros para obtener beneficios.

Análisis de vulnerabilidades

Los pools ComposableStablePools usan la fórmula de invariantes StableSwap de Curve para mantener la estabilidad de precios entre activos similares. Sin embargo, los cálculos de invariantes introducen errores durante las operaciones de escalado.

La función mulDown realiza divisiones enteras con redondeo hacia abajo, y estos errores de precisión se transmiten en los cálculos del invariantes, causando que los valores calculados se reduzcan anormalmente y creando oportunidades de ganancia para el atacante.

7. Análisis de casos típicos de lavado de dinero

7.1 Caso de la red de narcotráfico liderada por Ryan James Wedding sancionada por EE. UU.

Según información del Departamento del Tesoro de EE. UU., Ryan James Wedding y su grupo traficaron varias toneladas de cocaína desde Colombia y México, enviándolas a EE. UU. y Canadá. Utilizaron criptomonedas para lavar dinero ilícito.

Mediante la herramienta de rastreo e investigación en cadena de Beosin, Beosin Trace, se analizaron las direcciones de criptomonedas relacionadas con el grupo de narcotráfico de Wedding, con los siguientes resultados:

Las direcciones TAoLw5yD5XUoHWeBZRSZ1ExK9HMv2CiPvP, TVNyvx2astt2AB1Us67ENjfMZeEXZeiuu6 y TPJ1JNX98MJpHueBJeF5SVSg85z8mYg1P1 manejaron en conjunto 266,761,784.24 USDT. Parte de estos fondos ya fue congelada por Tether, pero la mayor parte fue lavada mediante transacciones frecuentes y transferencias en múltiples niveles, y posteriormente depositada en plataformas como Binance, OKX, Kraken, BTSE, entre otras.

El grupo Sokolovski posee varias direcciones en diferentes cadenas (BTC, ETH, Solana, TRON, BNB Beacon Chain), y el análisis de flujo de fondos puede consultarse en el informe completo.

7.2 Caso de robo de 40 millones de dólares en GMX

El 10 de julio de 2025, GMX fue atacado por una vulnerabilidad de reentrada, logrando un beneficio de aproximadamente 42 millones de dólares. Beosin Trace rastreó los fondos robados y encontró que la dirección del atacante 0x7d3bd50336f64b7a473c51f54e7f0bd6771cc355, tras obtener ganancias, intercambió diversos stablecoins y altcoins por ETH y USDC en DEX, y transfirió los fondos robados a través de múltiples protocolos cross-chain a la red Ethereum.

Luego, los activos en ETH por valor de aproximadamente 32 millones de dólares se almacenaron en las siguientes 4 direcciones en la red Ethereum:

0xe9ad5a0f2697a3cf75ffa7328bda93dbaef7f7e7

0x69c965e164fa60e37a851aa5cd82b13ae39c1d95

0xa33fcbe3b84fb8393690d1e994b6a6adc256d8a3

0x639cd2fc24ec06be64aaf94eb89392bea98a6605

Alrededor de 10 millones de dólares en activos están en la dirección 0xdf3340a436c27655ba62f8281565c9925c3a5221 en la red Arbitrum.

El camino de lavado de fondos en este incidente es muy típico: los hackers mezclaron y ocultaron los fondos mediante protocolos DeFi, puentes cross-chain y otros métodos, para evadir el rastreo y congelamiento por parte de reguladores y autoridades.

8. Resumen de la situación de seguridad Web3 en 2025

En 2025, las pérdidas por phishing y Rug Pulls en proyectos disminuyeron notablemente respecto a 2024, sin embargo, los ataques de hackers fueron frecuentes, con pérdidas que superaron los 31 mil millones de dólares, siendo las plataformas de intercambio las más afectadas. Los incidentes relacionados con la filtración de claves privadas también disminuyeron, principalmente por los esfuerzos en:

Tras la proliferación de ataques en años anteriores, el ecosistema Web3 en general ha puesto mayor énfasis en la seguridad, tanto los proyectos como las empresas de seguridad han mejorado en áreas como operaciones internas seguras, monitoreo en tiempo real en cadena, auditorías de seguridad más rigurosas y aprendizaje de incidentes pasados en vulnerabilidades de contratos. La protección de claves privadas y la seguridad en la operación de proyectos se han reforzado. Dado que la explotación de vulnerabilidades en contratos y el robo de claves privadas se vuelven cada vez más difíciles, los hackers están recurriendo a otros métodos, como ataques a la cadena de suministro y vulnerabilidades en front-end, para engañar a los usuarios y transferir activos a direcciones controladas por ellos.

Además, con la integración de mercados tradicionales y criptomonedas, los objetivos de ataque ya no se limitan a DeFi, puentes cross-chain o plataformas de intercambio, sino que se extienden a plataformas de pago, sitios de apuestas, proveedores de servicios criptográficos, infraestructura, herramientas de desarrollo, robots MEV, entre otros. Los ataques también apuntan a defectos más complejos en la lógica de los protocolos.

Para los usuarios particulares, las amenazas principales son los ataques de ingeniería social/phishing y la coacción física violenta. Muchos ataques de phishing involucran montos pequeños y afectan principalmente a usuarios individuales, por lo que no siempre se reportan o registran, subestimando las pérdidas reales. Sin embargo, los usuarios deben aumentar su conciencia y protección contra estos ataques. También han ocurrido secuestros y amenazas físicas contra usuarios de criptomonedas, por lo que es importante proteger la información personal y reducir la exposición de activos criptográficos.

En general, la seguridad en Web3 en 2025 sigue enfrentando desafíos severos. Los proyectos y usuarios no deben bajar la guardia. En el futuro, la seguridad en la cadena de suministro puede convertirse en la prioridad principal. Cómo proteger continuamente a los proveedores de infraestructura y monitorear las amenazas en la cadena será un gran reto para la industria. Además, los ataques de ingeniería social/phishing impulsados por IA podrían seguir aumentando, por lo que se requiere construir un sistema de defensa en múltiples niveles, en tiempo real y dinámico, que involucre conciencia individual, barreras tecnológicas y colaboración comunitaria para responder eficazmente.