Step Finance, una de las plataformas DeFi más visibles del ecosistema Solana, se ha visto afectada por un grave incidente de ciberseguridad que terminó con el robo de aproximadamente 40 millones de dólares en criptoactivos. El ataque, detectado el 31 de enero de 2026, se habría originado tras la comprometida de dispositivos de altos directivos, lo que abrió la puerta al acceso no autorizado a monederos de tesorería.
Ataque a Step Finance en Solana: qué ocurrió y cómo se detectó
Step Finance funciona como un dashboard DeFi y gestor de portafolios sobre Solana, permitiendo a los usuarios visualizar sus posiciones, realizar swaps, transacciones y operaciones de staking. Además, cuenta con un token nativo, $STEP, con un rol central dentro de su ecosistema.
Según la información divulgada por el proyecto, la actividad sospechosa se identificó el 31 de enero de 2026. De forma casi inmediata, el equipo notificó a las autoridades competentes y contrató a expertos externos en ciberseguridad para contener el incidente, documentar los flujos de los fondos y comenzar las labores de recuperación parcial de activos.
Wallets de tesorería comprometidos y posibles vectores de ataque
El ataque se centró en varios monederos de tesorería (treasury wallets) de Step Finance. Los atacantes obtuvieron acceso comprometiendo los dispositivos de los responsables del proyecto, a través de lo que la plataforma describe como un “vector de ataque conocido”.
En la práctica, en este tipo de incidentes suelen intervenir técnicas consolidadas en ciberseguridad corporativa: campañas de phishing (correos o mensajes falsos que inducen a clicar enlaces maliciosos), instalación de malware que roba credenciales o claves privadas, explotación de vulnerabilidades en navegadores y mensajería, o el acceso mediante cuentas comprometidas en servicios en la nube. El denominador común es la explotación del factor humano y de dispositivos con permisos privilegiados.
Impacto económico: robo de 40 millones de dólares y recuperación parcial
Las primeras estimaciones de daño fueron realizadas por la firma de análisis blockchain CertiK, que identificó la sustracción de 261 854 SOL, valorados en torno a 28,9 millones de dólares en el momento del ataque. Posteriormente, tras la investigación interna, Step Finance elevó la cifra total del impacto a 40 millones de dólares, al incluir otros activos y posiciones asociadas.
Pese a la magnitud del incidente, el equipo informó de una recuperación parcial de fondos: aproximadamente 3,7 millones de dólares en activos relacionados con Remora y cerca de 1 millón adicional en otras posiciones. Según Step Finance, esta recuperación se vio facilitada por las características del estándar Token22 de Solana, que incorpora controles adicionales sobre tokens (como restricciones programables y capacidades de supervisión) y, combinado con la colaboración de socios del sector, permitió bloquear y revertir ciertos movimientos de los atacantes.
Medidas de contención, estado de Remora Markets y recomendaciones a usuarios
Como respuesta inmediata, Step Finance limitó temporalmente determinadas operaciones en la plataforma para realizar un auditoría técnica exhaustiva y reforzar los controles de seguridad. Este tipo de congelación operativa es habitual tras grandes ciberataques en DeFi y exchanges, ya que reduce el riesgo de nuevos movimientos maliciosos y facilita el análisis forense de lo sucedido.
La compañía subrayó que el proyecto asociado Remora Markets se mantuvo aislado del ataque. De acuerdo con sus comunicados, todos los rTokens continúan respaldados en proporción 1:1 y la infraestructura de Remora no se vio directamente afectada por la brecha en los wallets de tesorería de Step Finance.
A los usuarios se les recomendó no interactuar con el token STEP hasta la finalización de la investigación y la publicación de un plan de recuperación. El equipo ha tomado un snapshot del estado de la red previo al incidente y trabaja en mecanismos de compensación u otras medidas para los tenedores de STEP potencialmente perjudicados.
Opacidad técnica, rumores de insider y peso del factor humano en DeFi
Step Finance no ha revelado detalles técnicos profundos ni ha señalado posibles responsables, lo que ha dado pie a especulaciones sobre un posible componente interno. Medios especializados como Bleeping Computer señalan que la falta de información concreta alimenta teorías de insider threat o incluso de fraude encubierto, aunque no existe por ahora ninguna prueba concluyente que confirme estas hipótesis.
La sospecha de participación interna no es inusual en el ecosistema cripto. Informes de analistas de seguridad y de firmas como CertiK y Chainalysis han destacado que una parte relevante de los incidentes DeFi está relacionada con errores en la gestión de claves, uso indebido de accesos privilegiados o deficiencias en la protección de los dispositivos de fundadores y directivos, más que con vulnerabilidades puramente on-chain.
Escalada de ataques DeFi y lecciones clave de ciberseguridad
El caso Step Finance se produce en un contexto de creciente presión ofensiva sobre DeFi. Solo en enero de 2026, estimaciones de CertiK sitúan las pérdidas totales de proyectos cripto en torno a 398 millones de dólares, con una recuperación de apenas 4,366 millones. Esta brecha entre lo robado y lo recuperado ilustra la dificultad de revertir un ataque una vez que los fondos han salido del control inicial.
El incidente demuestra que, incluso cuando los smart contracts están auditados y aparentemente bien diseñados, la comprometida de los endpoints humanos (portátiles, móviles y cuentas en la nube de la alta dirección) puede traducirse en pérdidas de decenas de millones. Para reducir este riesgo, los proyectos DeFi deberían priorizar:
• Protección de tesorería: uso de hardware wallets, esquemas de multifirma (multisig) y límites de retirada.
• Gestión de accesos: principio de mínimo privilegio, segmentación de roles y revisiones periódicas de permisos.
• Seguridad de dispositivos: hardening de equipos de C-level, cifrado de disco, autenticación robusta y supervisión continua.
• Formación antifishing: simulacros regulares, verificación de canales oficiales y protocolos claros para la gestión de claves.
Para los usuarios, este caso recuerda que cualquier plataforma DeFi conlleva riesgo de infraestructura. La estrategia más prudente pasa por diversificar entre distintos servicios, utilizar monederos personales con soporte hardware, desconfiar de enlaces no verificados y seguir de cerca las noticias de ciberseguridad del ecosistema. Comprender cómo operan los atacantes y qué errores se repiten es una de las herramientas más efectivas para reducir la superficie de ataque y participar en DeFi de forma más segura y consciente.
