Solana pierde menos por hackeos que las redes rivales: Certora explica por qué

Mientras los partidarios de blockchain celebran un año increíble para la industria, los actores nefastos del espacio también disfrutan de su propio bull run.

Los analistas informan de que 2025 ha sido un gran año para el juego sucio. Solo en la primera mitad del año, los malos actores robaron más de 1.930 millones de dólares en delitos relacionados con las criptomonedas, eclipsando la cantidad perdida por hackeos y estafas en todo 2024.

1.930 millones de dólares en delitos relacionados con las criptomonedas.

Pero a pesar de los niveles sin precedentes de malicia en el cripto, Solana se ha mantenido, al menos técnicamente, rotundamente segura. Mientras que las redes EVM han sufrido más de 220 millones de dólares en hackeos en 2025, las aplicaciones basadas en Solana han salido prácticamente indemnes, perdiendo ~18 millones de dólares en exploits a estas alturas del año.

Hablando en exclusiva con Seth Hallem, CEO de Certora, una empresa líder en seguridad de blockchain, SolanaFloor se sumergió en los detalles para llegar al fondo de esta gran discrepancia y averiguar si Solana es realmente un espacio intrínsecamente más seguro para operar.

 

Solana es un espacio intrínsecamente más seguro para operar.

¿Por qué Solana sufre menos hackeos que EVM?

Un vistazo a DefiLlama’s hack list pinta un cuadro desafortunado. Tomando una instantánea de un mes de exploits criptográficos, es evidente que las cadenas EVM están sobrerrepresentadas, especialmente cuando se comparan con Solana y sus SVM adyacentes. Además, vale la pena señalar que Solana’s Texture hack en julio fue uno de sólo 3 exploits en la red, en comparación con docenas a través de las cadenas basadas en EVM.

Aunque los hackeos de intercambios, como el exploit ByBit de 1.400 millones de dólares, se sitúan sistemáticamente como los mayores y más dañinos eventos de seguridad, los fallos en la lógica de los protocolos son, de lejos, la vulnerabilidad más común explotada por los actores maliciosos.

Hallem atribuye a la arquitectura de programación inherente de Solana el hecho de que el volumen de hackeos y exploits sea mucho menor. Construida usando Rust, en contraposición a lenguajes "cripto-exclusivos" como Solidity, la programación de Solana es un conjunto de Lego fundacional más accesible y probado en batalla que lo que los desarrolladores de EVM están obligados a usar.

 

“Los contratos Solana están construidos sobre Rust, que es un lenguaje de programación mucho más ampliamente adoptado y familiar que Solidity. Cada vez que hay una curva de aprendizaje para un desarrollador, hay un conjunto completamente nuevo de reglas y prácticas de seguridad que aprender… Solana fue desarrollado con conceptos como la reutilización y la capacidad de actualización en mente desde el principio. Esto permite a los desarrolladores construir sobre una biblioteca de bloques de construcción en constante crecimiento. Cuanto más se pueda centralizar la funcionalidad y la reutilización, más oportunidades se tendrán de invertir fuertemente en seguridad una vez en beneficio de toda la comunidad.”

 

Además, Hallem articuló que, con una red dramáticamente más grande, el EVM-paisaje ofrece mucho más terreno fértil para los sinvergüenzas nefastos de crypto’s oscuro bajo vientre. Ethereum’s TVL es ~595% más grande que Solana’s, descontando Layer-2s.

 

“Las cadenas EVM siguen siendo un objetivo mayor y más rentable - a medida que Solana crezca, el número de ataques dirigidos a las cadenas Solana también crecerá.”

Sin embargo, aunque Hallem señala correctamente que la superficie de Ethereum para el ataque es significativamente mayor, el volumen de hackeo de Solana sigue siendo proporcionalmente menor. El volumen de hackeos de Ethereum en 2025 representa un 0,22% de su TVL, comparado con el 0,12% de Solana.

Cuando no se puede verificar, ¿en quién se puede confiar?

A pesar de su posición como sello distintivo de la ética fundamental de las criptomonedas, la autocustodia es una especie de arma de doble filo. La economía onchain puede ser un abundante terreno de juego financiero con oportunidades ilimitadas, pero todo lo que se necesita es un enlace deshonesto o una interacción de contrato desprevenida para dejar a los usuarios sin nada.

Los defensores de las criptomonedas predican el mantra “no confíes, verifica” hasta la saciedad, pero la realidad es que la gran mayoría de los usuarios de blockchain no son capaces de analizar los contratos onchain de código abierto.

 

“Don’t trust, verify” es quizás aún más superfluo en Solana, donde la mayoría de las aplicaciones operan protocolos de código cerrado. Esto deja a los usuarios en una posición delicada: Si no puedes verificar, ¿cómo puedes confiar?

“El usuario final medio gana poco analizando un contrato de Rust, pero debería estar atento a quiénes son los auditores de confianza en el espacio, quién ha auditado cada programa de Solana que pretende utilizar y qué ha dicho el auditor sobre ese programa.”

Aquí es donde las empresas de seguridad de renombre como Certora se ganan sus galones y se consolidan como los héroes anónimos de la economía onchain. Hallem compara a los auditores de seguridad de blockchain con los abogados expertos del mundo web2, responsables de abstraerse de las minucias increíblemente complicadas de los contratos onchain, señalando posibles vulnerabilidades y trabajando junto a los equipos de desarrolladores para parchear los vectores de ataque.

 

“La seguridad en la cadena es una cuestión de un billón de dólares, y es en última instancia la razón por la que existen empresas como Certora. La mejor forma de planteárselo es tomar el principio de web3 de que "el código es ley" y aplicarlo por analogía. La mayoría de nosotros no tenemos ni los conocimientos ni la paciencia para leer cada una de las leyes aprobadas por el Congreso de Estados Unidos. En su lugar, recurrimos a fuentes secundarias más accesibles: artículos de prensa que explican leyes relevantes para nosotros y, en caso de duda, abogados especializados en interpretar la ley. En el mundo de la web3 ocurre lo mismo: las empresas de auditoría como Certora actúan como intermediarias, colaborando con los desarrolladores de contratos para garantizar la seguridad, pero también actuando como intérpretes de confianza para la comunidad de usuarios finales.”

 

Certora, como uno de los auditores más fiables de Solana’es sin duda uno de los “intérpretes de confianza” favoritos de la red.

Los gigantes DeFi de Solana, incluidas plataformas como Jito y Kamino, que poseen miles de millones en TVL, recurren habitualmente a Certora para realizar auditorías de seguridad que garanticen la seguridad de sus usuarios. A partir de agosto de 2025, Certora ha asegurado más de $ 9B de fondos en Solana, una cifra que probablemente ha crecido en las últimas semanas después de $ Sol & rsquo;s reciente aumento de los precios.

 

Por delante de los hackers

La seguridad de la cadena de bloques es un delicado juego del gato y el ratón. Los hackers están desarrollando constantemente nuevos vectores de ataque y estrategias, lo que significa que incluso las aplicaciones que pueden considerarse ‘seguras’ necesitan estar al tanto de las nuevas tendencias de exploits.

 

Hallem afirma que el enfoque de auditoría de Certora’sigue un doble enfoque. Entre el equipo altamente experimentado de auditores de Certora y tecnologías como las herramientas de verificación formal, la postura proactiva de la empresa protege tanto a las aplicaciones como a los usuarios.

“La fortaleza de Certora como auditor se basa en dos pilares fundamentales: las personas y la tecnología. Las personas son lo primero, y nos enorgullecemos de reunir a un talentoso grupo de expertos en seguridad web3 y proporcionarles un entorno que les anime a hacer su mejor trabajo. Para poner a nuestros equipos en la mejor posición para tener éxito, siempre asignamos al menos dos auditores a un proyecto, y estamos constantemente innovando en nuestro proceso de auditoría."

 

Además de asignar múltiples auditores a cada proyecto, Certora también aprovecha potentes herramientas de seguridad para identificar vulnerabilidades.

 

“La tecnología es el segundo pilar de lo que hacemos: construimos herramientas innovadoras, líderes en la industria, que utilizamos para encontrar vulnerabilidades en los contratos inteligentes y, cada vez más, para guiar a nuestros auditores hacia las áreas sospechosas de un contrato que requieren una investigación más profunda.”

.

Las pilas de verificación formales como Certora Prover, propiedad de la empresa, comparan el código de bytes de los contratos inteligentes con el comportamiento esperado del código, analizando los estados y rutas de los contratos para resaltar posibles vectores de ataque.

 

“Los atacantes también están innovando, y para intentar ir por delante seguimos dos caminos dispares. El primero es asegurarnos de estar siempre al tanto de los últimos vectores de ataque y de cómo esos vectores pueden afectar a nuestros clientes, pero eso es en última instancia una perspectiva reactiva. La segunda es utilizar la verificación formal, la tecnología central en el corazón de Certora, para garantizar matemáticamente la ausencia de categorías enteras de fallos que pueden hacer que un contrato sea vulnerable.

 

La verificación formal es ampliamente defendida por los líderes de pensamiento de seguridad a través de Solana, incluyendo el fundador de Kamino Marius Ciubotariu, y por supuesto, el padre fundador de Solana Labs Anatoly Yakovenko.

Responsabilidad del auditor

Una de las mayores ideas falsas que impregnan el espacio criptográfico es la noción de que los protocolos auditados son impermeables a los exploits. La incómoda realidad es que las auditorías de seguridad de blockchain no son en absoluto una garantía de que ciertos protocolos y aplicaciones sean seguros de usar.

En su lugar, los criptonautas deberían ver las auditorías como un esfuerzo genuino y honesto realizado por expertos para proteger a las personas lo mejor que puedan. Hallem opina que si un protocolo auditado es hackeado, la carga y las responsabilidades del exploit recaen en última instancia en la aplicación, no en el auditor.

 

.

“Los auditores desempeñan un papel clave en el establecimiento de la confianza del ecosistema web3, y en esa posición la reputación de una empresa auditora es primordial. Al igual que un auditor fiscal, creo que la responsabilidad de un auditor no tiene que ver con si se piratea o no un protocolo, sino con si el auditor es honesto o no. Muchas empresas han ocultado con éxito a sus auditores fiscales refugios fiscales y otras maniobras ilegales, y siempre que el auditor haya hecho un esfuerzo de buena fe para llevar a cabo una auditoría exhaustiva y completa, la responsabilidad de esas decisiones recae en la empresa, no en el auditor. En el espacio web3, sentimos una obligación similar de realizar un análisis exhaustivo del código de nuestros clientes y elaborar un informe honesto de nuestros hallazgos. Sin embargo, seguimos siendo meros asesores de nuestros clientes -no controlamos totalmente sus decisiones sobre qué software publicar exactamente y cómo- y, dada la naturaleza de lo que hacemos, nuestro trabajo siempre está incompleto: los atacantes innovan y las vulnerabilidades dependen cada vez más de interacciones que van más allá del código que auditamos.”

 

Comparaciones con Web2 aparte, Hallem hace una observación pertinente sobre el papel de los auditores de blockchain en una industria a la que le encanta jugar al juego de la culpa. A pesar de todo el progreso que se está haciendo en la industria blockchain, los participantes todavía tienen que seguir siendo críticos, vigilantes y objetivos, sin confiar ciegamente en las aplicaciones y las empresas de seguridad.

 

“La verdadera respuesta a la seguridad de web3 se encuentra mucho más allá de la auditoría como único punto de fallo - la industria necesita una solución más amplia y completa a los retos de seguridad en web3, y como empresa Certora tiene como objetivo proporcionar esa visión más amplia. Las vulnerabilidades de los contratos inteligentes no desaparecerán, pero podemos aprender de otras industrias en las que una combinación de tecnologías y una mentalidad de "defensa en profundidad" ha dado lugar a un enfoque por capas que nos permite sentirnos seguros en nuestras interacciones en línea. Lo mismo puede, y debe aplicarse en web3 a medida que la industria madura.”

 

Las criptomonedas probablemente seguirán siendo, al menos en un futuro previsible, el salvaje oeste de las finanzas. Mientras la economía onchain siga ofreciendo un terreno fértil para los exploits y el dinero sin permiso, el espacio seguirá plagado de jugadores nefastos y extractivos.

 

Pero al igual que persistirán los malos actores, los buenos sirven de contrapeso. Las empresas de seguridad como Certora, aunque todavía no garantizan una seguridad absoluta, presentan lo que posiblemente sea la mejor defensa contra el juego sucio. 

Más información sobre SolanaFloor

¿Por qué Star Atlas necesita su propia Capa-1?

Aquí’está todo lo que podrías’haberte perdido del verano de Star Atlas

SolanaFloor se sienta con Michael Wagner, CEO de Star Atlas