Explotación de Contrato Heredado de Regalías en Polygon Drena $261K Debido a Fallo en Lógica de Recompensas

TheNewsCryptoPublicado a 2026-06-24Actualizado a 2026-06-24

Resumen

Un hacker explotó un contrato de royalties heredado en Polygon, sustrayendo aproximadamente 261.200 dólares en criptomonedas. La firma TenArmorAlert identificó la transacción inusual el 23 de junio. El ataque, ejecutado en el bloque 89.018.051 de Polygon, aprovechó fallos en el mecanismo de cálculo y contabilidad de recompensas del contrato, no en la blockchain principal. Investigaciones de CertiK y DecurityHQ detallan que el atacante manipuló el cálculo de recompensas y los registros de propiedad mediante transacciones de valor cero, inflando artificialmente los balances. Esto, combinado con un préstamo flash, le permitió retirar fondos excesivos. El incidente resalta los riesgos de los contratos inteligentes antiguos y con fondos accesibles, similar a exploits recientes en Huma Finance. Los desarrolladores de Polygon recomiendan auditar, actualizar o desactivar despliegues obsoletos para mitigar tales amenazas, confirmando que la red principal permanece segura.

Un hacker utilizó un contrato heredado de regalías en la plataforma Polygon y se llevó aproximadamente $261,200 en criptomonedas recientemente. La firma de seguridad TenArmorAlert identificó la transacción inusual el 23 de junio y rastreó la transacción de la explotación.

La cadena de bloques muestra que el hacker llevó a cabo el ataque utilizando la transacción del bloque 89,018,051 de Polygon. Según TenArmorAlert, el hacker logró retirar aproximadamente $263,800 a pesar de la cantidad inicial de dinero relativamente baja. El ataque fue al programa heredado de regalías y no a la estructura fundamental de la cadena de bloques de Polygon.

Errores de Cálculo en Recompensas Permitieron Retiros en Exceso

Según TenArmorAlert, el ataque fue posible debido a problemas en el mecanismo de cálculo de recompensas y en la contabilidad de las mismas. La empresa de seguridad CertiK descubrió un problema con la función Royal1155LD.beforeLdaTransfer() en el contrato explotado.

Los investigadores afirman que el atacante realizó varias transacciones de valor cero, manipulando el cálculo de recompensas y los números de propiedad. Esta vulnerabilidad permitió al atacante aumentar el saldo de tokens bajo ciertas condiciones.

Defimon Alerts también proporcionó otra investigación de DecurityHQ. En este caso, los expertos concluyeron que errores de cálculo en las regalías condujeron a la explotación. De esta manera, números de propiedad falsos permitían reclamar recompensas excesivas. Además, el atacante utilizó un préstamo flash para explotar este contrato. Después de repagar la cantidad prestada, el atacante obtuvo el resto del dinero como ganancia.

Sigue Siendo Vulnerable a Amenazas de Seguridad

El último ataque ha surgido a la luz de otros ataques similares en versiones antiguas de proyectos de finanzas descentralizadas, así como en implementaciones de contratos inteligentes inactivos. Los atacantes han llevado a cabo recientemente una explotación de algunos contratos antiguos de Huma Finance y han robado aproximadamente $101,400.

Los investigadores han estado advirtiendo a los desarrolladores sobre los posibles peligros de tener versiones antiguas de contratos inteligentes con finanzas disponibles. El equipo debe auditar, actualizar, desactivar o eliminar completamente la implementación antigua para mitigar el peligro de posibles ataques. Los desarrolladores de Polygon han confirmado que los atacantes no han podido amenazar la seguridad de la red principal de la cadena de bloques.

Noticias Destacadas de Cripto:

Explotación de SecondFi Expone Claves de Billetera, Poniendo Más de $20M en Activos de Cardano en Riesgo

EtiquetasCadena de BloquesCriptomonedaHackAtaque de HackPolygonRed PolygonRecompensas

Preguntas relacionadas

Q¿Cómo explotó el atacante el contrato de royalties heredado en Polygon para robar aproximadamente $261,200?

AEl atacante explotó una vulnerabilidad en el mecanismo de cálculo de recompensas del contrato heredado Royal1155LD. Realizando varias transacciones de valor cero, manipuló el cálculo de recompensas y los números de propiedad, lo que permitió aumentar artificialmente el saldo del token en ciertas condiciones. Además, utilizó un préstamo flash para maximizar la explotación y quedarse con el beneficio después de devolver el monto prestado.

Q¿Qué empresa de seguridad identificó la transacción inusual y en qué fecha?

ALa empresa de seguridad TenArmorAlert identificó la transacción inusual el 23 de junio.

QSegún los investigadores, ¿qué función específica del contrato explotado contenía el problema que permitió el ataque?

ASegún la empresa de seguridad CertiK, el problema estaba en la función `beforeLdaTransfer()` del contrato explotado Royal1155LD.

Q¿Qué recomiendan los expertos a los desarrolladores para mitigar el riesgo de ataques a contratos antiguos, según el artículo?

ALos expertos recomiendan que los desarrolladores auditen, actualicen, desactiven o eliminen por completo los despliegues antiguos de contratos inteligentes que aún tengan fondos disponibles, para mitigar el peligro de posibles ataques.

QSegún Polygon, ¿el ataque comprometió la seguridad de la red principal de su blockchain?

ANo. Los desarrolladores de Polygon confirmaron que los atacantes no han podido amenazar la seguridad de la red principal de su blockchain.

Lecturas Relacionadas

La Historia Completa del Fraude Severo en el que está Inmerso el Unicornio Cripto Blockstream

El artículo aborda las graves acusaciones de fraude contra Blockstream, la compañía cofundada por el pionero de Bitcoin, Adam Back. Un informe de investigación de la cuenta NatInfoSec señala múltiples irregularidades en su producto estrella, los Bitcoin Mining Notes (BMN). Las principales acusaciones incluyen: 1) Una discrepancia entre el hashrate necesario para cumplir con las obligaciones de los BMN (estimado en 20-45 EH/s) y el hashrate real reportado por Blockstream (15 EH/s), sin evidencia pública suficiente de infraestructura minera a esa escala. 2) La oferta de rendimientos fijos anormalmente altos (cercanos al 20%) en un sector volátil como la minería de Bitcoin. 3) El antecedente penal por fraude postal de Christopher William Cook, una figura clave en la división minera de Blockstream (Exacore), lo que no fue revelado en los documentos de los BMN. 4) Posibles riesgos de contagio para Bitcoin Standard Treasury Company (BSTR), una empresa relacionada con Back que planea salir a bolsa vía SPAC. BitMEX Research analizó las acusaciones, confirmando la probable veracidad del historial de Cook y la preocupación por los altos rendimientos, pero consideró insuficiente la evidencia sobre otros puntos, destacando la independencia legal entre BMN y BSTR. La comunidad debate intensamente, especialmente sobre la verificabilidad del hashrate y el origen de los pagos a los inversionistas. En conclusión, el artículo subraya que las acusaciones, aunque no son prueba definitiva de fraude, revelan importantes lagunas de transparencia en los BMN respecto al tamaño real de las obligaciones, el origen verificable de los rendimientos, la infraestructura minera subyacente y la divulgación de riesgos clave. Blockstream no había emitido una respuesta oficial sistemática al momento de la publicación.

链捕手Hace 19 min(s)

La Historia Completa del Fraude Severo en el que está Inmerso el Unicornio Cripto Blockstream

链捕手Hace 19 min(s)

El Lobby de las Criptomonedas Presiona al Congreso para Mantener Intacto el Proyecto de Ley Fiscal sobre Staking y Minería

El criptolobby presiona al Congreso para que mantenga intacto el proyecto de ley fiscal sobre staking y minería. La industria cripto insta a los legisladores a avanzar la Ley de Claridad Fiscal para Minería y Staking (H.R. 9175) sin cambios, buscando que las recompensas de validación (staking) y minería se graven en el momento de la venta, no al recibirse. Esto evitaría obligaciones fiscales antes de que los operadores tengan liquidez. Los bancos se oponen, argumentando que diferir los impuestos daría ventaja competitiva a los productos de rendimiento cripto sobre los productos de ahorro tradicionales. Para validadores y mineros, la claridad normativa es crucial para la planificación, ya que la incertidumbre aumenta los costos y podría perjudicar a los participantes más pequeños. El debate fiscal impacta la descentralización de las redes: si el cumplimiento es demasiado oneroso, los operadores pequeños podrían salir, concentrando la infraestructura en grandes actores. La ley aún es una propuesta, pero muestra cómo la agenda política cripto se expande más allá de la regulación de mercados, hacia reglas fiscales que apoyen la economía de las redes.

bitcoinistHace 54 min(s)

El Lobby de las Criptomonedas Presiona al Congreso para Mantener Intacto el Proyecto de Ley Fiscal sobre Staking y Minería

bitcoinistHace 54 min(s)

a16z: En la era de la IA, la lucha por el talento comienza con la denominación de puestos

El concepto de "ingeniero desplegado en campo" (FDE) demuestra cómo el nombre de un puesto puede redefinir y elevar el valor de un rol tradicionalmente subestimado, como la implementación técnica en el sitio del cliente. Palantir popularizó este término, transformando la percepción de un trabajo de soporte en una capacidad estratégica clave. Esto ejemplifica el "arbitraje de títulos": crear nuevas denominaciones cuando una habilidad gana importancia, pero la terminología organizacional aún no refleja su valor. Un título no es solo una etiqueta, sino un lenguaje organizacional que otorga legitimidad, atrae talento y señala un cambio en la importancia estratégica del trabajo. En la era de la IA, este enfoque es crucial. La transformación con IA no solo se trata de herramientas más inteligentes, sino de crear nuevos roles de alto impacto, como el "ingeniero legal" o el "ingeniero de estrategia comercial". Para las empresas de IA que venden a otras empresas, nombrar estos nuevos puestos dentro de las organizaciones cliente es una estrategia que facilita la adopción, construye identidad y, en última instancia, crea ventajas competitivas. El resurgimiento del debate sobre el FDE refleja la naturaleza difusa de los productos de IA empresarial, donde los límites entre producto, servicio e implementación se desdibujan. El reto no es eliminar los servicios, sino identificar y renombrar las partes más valiosas y cercanas al cliente para integrarlas en el núcleo del aprendizaje y desarrollo del producto. Quien logre definir y organizar primero estas nuevas capacidades ganará una ventaja decisiva.

marsbitHace 1 hora(s)

a16z: En la era de la IA, la lucha por el talento comienza con la denominación de puestos

marsbitHace 1 hora(s)

CBRS: Ingresos duplican en primer informe tras salida a bolsa, pero pronóstico de margen bruto cae drásticamente; ruta de ejecución del gran contrato de OpenAI es demasiado larga

Cerebras (CBRS) presentó sus primeros resultados trimestrales tras su OPI, con ingresos centrales del Q1 de 1.913 millones de dólares, un aumento interanual del 92%, superando las expectativas. Sin embargo, la guía de margen bruto para el Q2 cayó bruscamente del 46,5% a un rango del 36-38%, lo que hizo que las acciones cayeran más de un 10% en operaciones extrabursátiles. La compañía, que fabrica chips a partir de obleas de silicio completas y apuesta por la IA para inferencia, tiene un contrato de más de 20.000 millones de dólares con OpenAI y un marco de colaboración con AWS. Su guía de ingresos anuales es de 855-865 millones de dólares. El informe revela una transición en su modelo de negocio: de vender hardware a vender potencia de cálculo en la nube. Esto explica en parte la presión sobre los márgenes, atribuida a la escasez temporal de capacidad en centros de datos. Aunque los ingresos superaron las expectativas, la concentración de clientes sigue siendo alta (dos entidades relacionadas de Emiratos Árabes Unidos representaron el 86% de los ingresos en el año fiscal 2025). Los grandes contratos con OpenAI (que comenzará a contribuir en 2026) y AWS (previsto para 2027) son prometedores pero de ejecución larga. Los analistas son mayoritariamente optimistas, con un precio objetivo medio de 300 dólares, apostando por la ventaja de velocidad de Cerebras en la inferencia de IA y el potencial de sus grandes acuerdos. Los escépticos señalan los desafíos en los márgenes, la intensa competencia (especialmente de NVIDIA) y la dependencia continua de pocos clientes. La valoración actual, cercana a los 50.000 millones de dólares, anticipa un crecimiento significativo que depende de la ejecución exitosa de estos contratos a largo plazo.

marsbitHace 1 hora(s)

CBRS: Ingresos duplican en primer informe tras salida a bolsa, pero pronóstico de margen bruto cae drásticamente; ruta de ejecución del gran contrato de OpenAI es demasiado larga

marsbitHace 1 hora(s)

Entrevista al CEO de Strategy: Después de vender Bitcoin, ¿puede STRC recuperarse?

Entrevista con Phong Le, CEO de MicroStrategy: Tras la venta de 32 bitcoins, ¿puede recuperarse el STRC? La venta de 32 bitcoins (unos 2,5 millones de dólares) por parte de MicroStrategy generó una amplia reacción en el mercado. El CEO Phong Le explica que la decisión, tomada con transparencia y disciplina, tenía dos objetivos principales: demostrar a los tenedores de deuda la capacidad de liquidez de los activos en Bitcoin y probar los procesos internos de venta. Asegura que la medida no fue una respuesta a los temores de un "espiral de muerte" relacionado con el producto de acciones preferentes STRC, ya que menos del 10% de este está en protocolos DeFi. Le destaca que MicroStrategy, el mayor tenedor corporativo de Bitcoin, opera con un riguroso proceso de decisión que involucra a la junta directiva y análisis de datos, lejos de ser una decisión unilateral. Reitera la estrategia a largo plazo de la compañía y su firme creencia en el valor subyacente de Bitcoin. Frente a la volatilidad, enfatiza la opción estratégica de "no hacer nada", como se hizo durante el mercado bajista de 2022. Sobre el STRC, un producto con apenas 10 meses, Le confía en que recuperará su valor nominal de 100 dólares, respaldado por el mecanismo de pago de dividendos que comienza el 30 de junio y la sólida sobrecolateralización del producto. Finalmente, aclara que la venta de Bitcoin sí ocurrió en la semana previa al 31 de mayo, tal como se reportó en los documentos oficiales 8-K de la compañía.

marsbitHace 2 hora(s)

Entrevista al CEO de Strategy: Después de vender Bitcoin, ¿puede STRC recuperarse?

marsbitHace 2 hora(s)

Trading

Spot
Futuros
活动图片

Categorías popularesright-arrow

Etiquetas Popularesright-arrow