Los bridges debían ser la promesa de la interoperabilidad. En 2026 se convirtieron en el cajero automático favorito de los hackers. El dato es contundente: 340,7 millones de dólares drenados de protocolos cross-chain en 14 exploits, según la alerta de PeckShield del 1 de junio de 2026. No es un incidente aislado. Es un patrón que se repite.
Existe una tesis extendida en el sector: los bridges son infraestructura joven, los fallos se cerrarán con mejores auditorías y más tiempo. La realidad de los números cuenta algo diferente, y más incómodo. El problema no es la madurez del código. Es donde el código concentra el valor.
La tesis optimista: solo es cuestión de tiempo
El argumento optimista suena razonable. Los bridges son software complejo, gestionan mensajes entre cadenas distintas, y toda tecnología nueva atraviesa una fase de vulnerabilidad antes de estabilizarse. Auditorías, bug bounties, monitoreo continuo: con las herramientas adecuadas, dice esta corriente de pensamiento, el riesgo se controla. Es la misma curva que siguieron los exchanges centralizados tras sus peores años.
El razonamiento tiene un punto débil. Asume que el fallo es accidental, una serie de bugs que corregir uno a uno. Los datos de 2026 apuntan, en cambio, a un defecto estructural.
La antítesis: los números que desmontan el optimismo
En mayo de 2026 se registraron 60 incidentes, el dato mensual más alto del año, con pérdidas brutas de alrededor de 68,3 millones de dólares, según el informe de PeckShield. Las vulnerabilidades de código representaron el 66% de los casos, mientras que los exploits de bridges generaron la cifra más alta por tipo de incidente. La recuperación de fondos fue de apenas el 13,7%. Casi nueve de cada diez dólares robados no regresan.
El caso emblemático sigue siendo KelpDAO. PeckShield documentó en X la dinámica de los exploits cross-chain de 2026, y la lectura agregada es clara: los bridges dominan el ranking de pérdidas.
¿Por qué hackean los bridges crypto?
Porque concentran en un solo punto el colateral de decenas de cadenas, y basta una falla en la verificación de mensajes para vaciarlo. Ese es el defecto de diseño, no el bug de un contrato individual. El 18 de abril de 2026, un atacante drenó aproximadamente 116.500 rsETH, equivalentes a 292 millones de dólares, del bridge de KelpDAO construido sobre LayerZero. Según Chainalysis, LayerZero tenía configurado por defecto un quórum RPC de 1 sobre 1: un único nodo comprometido podía autorizar mensajes cross-chain fraudulentos. Ese rsETH respaldaba versiones del token en más de veinte cadenas, desde Base hasta Arbitrum, desde Linea hasta Scroll. Una sola falla, veinte ecosistemas expuestos.
El guion se repite a menor escala pero con lógica idéntica. Un atacante acuña, descarga, hace el bridge hacia otra cadena y recicla. En un caso reciente se movieron 1.285,5 ETH a través de un mixer para ocultar el rastro. Mint, dump, bridge, lavado. La cadena de producción del robo ya es industrial.
A esto se suma un tema que SpazioCrypto ya ha abordado: la llegada de agentes de inteligencia artificial capaces de detectar vulnerabilidades más rápido de lo que los defensores logran cerrarlas. Para ese debate, remito al análisis específico.
La conclusión: el blanco no cambiará por sí solo
Poniendo los dos frentes en perspectiva, la conclusión es menos consoladora que la tesis mainstream. Mientras los bridges sigan siendo depósitos únicos de colateral multi-cadena, la geometría del riesgo favorecerá a quien ataca. El atacante necesita encontrar un punto. El defensor debe protegerlos todos. Los quórums de verificación mínimos, las optimizaciones de coste que reducen los controles, la presión por lanzar rápido: cada atajo se convierte en una puerta. Las empresas que gestionan valor on-chain deberían leer los 340,7 millones de 2026 no como una suma de malas suertes, sino como el precio estructural de una arquitectura que aún no ha resuelto su problema más costoso.
Para quienes quieran profundizar en el lado técnico de la verificación cross-chain, las directrices europeas sobre seguridad de infraestructuras digitales están recopiladas por ENISA, mientras que los movimientos on-chain de los atacantes son rastreables en Etherscan.
