El 2026 arrancó movido: Saga EVM perdió casi 7 millones de dólares por una vulnerabilidad en su código
Cómo una startup ambiciosa se convirtió en la lección más cara en ciberseguridad
La joven plataforma Saga EVM, creada para lanzar cadenas de bloques aisladas y aplicaciones descentralizadas, fue víctima de un hackeo, del que se extrajeron unos $6 millones en la criptomoneda Ethereum. El ataque se produjo debido a una vulnerabilidad en la propia infraestructura del proyecto y se convirtió en uno de los incidentes más grandes desde principios de 2026 en el ámbito de las finanzas descentralizadas.
El principal mecanismo del ataque fue la creación no autorizada de la moneda estable Saga Dollar (D), que no estaba respaldada por ningún activo. Tras la emisión de los tokens, el atacante los transfirió a la red Ethereum y adquirió más de 2 000 ETH. El resto de los activos lo liquidó a través de su propia versión del intercambio descentralizado Uniswap desplegada en la plataforma Saga. Las pérdidas totales del proyecto se estiman en $6,8 millones.
Inmediatamente después de detectar el hackeo, el equipo detuvo la emisión de bloques y congeló el funcionamiento del protocolo para evitar más pérdidas y comenzar una investigación interna. Se suspendió el funcionamiento de todas las aplicaciones en la red, lo que de hecho llevó a una parada total de la actividad.
El incidente provocó una caída rápida del valor total bloqueado (TVL) —de $36 millones a $21 millones—. Además de las pérdidas financieras, Saga afrontó una fuerte caída de confianza, ya que la única moneda estable disponible en la plataforma perdió su paridad con el dólar y se desplomó hasta $0,75. Antes del ataque, su valor se mantenía estable alrededor de $1.
Los tokens D comenzaron a distribuirse en diciembre de 2025 y al momento del ataque se habían emitido más de 6 millones. El activo se negociaba exclusivamente en el mercado interno de Saga llamado Oku Trade, lo que agravó las consecuencias del ataque: el mercado no tenía suficiente liquidez para absorber esa emisión.
En el momento del ataque, el atacante conservaba una suma considerable en tokens D —más de $12 millones—, así como varios otros activos digitales. Todos los fondos siguen almacenados en una sola dirección y hasta ahora no se han transferido ni retirado mediante servicios de anonimización. La congelación de la red hizo imposible el uso de los tokens D dentro de la propia plataforma.
Los tokens nativos SAGA, que desde el lanzamiento en mayo de 2024 habían ido perdiendo valor, tras el ataque se desplomaron hasta $0,053, marcando un mínimo histórico. La red Saga sigue congelada, y su recuperación llevará tiempo, dado el golpe al ecosistema descentralizado y la fuerte reducción de su cuota en el mercado DeFi.