Pérdidas superan los 26 millones de dólares: Análisis del incidente de seguridad de Truebit Protocol y seguimiento del flujo de fondos robados

marsbitPublicado a 2026-01-09Actualizado a 2026-01-09

Resumen

El protocolo Truebit sufrió un ataque el 9 de enero, resultando en una pérdida de 8,535.36 ETH (aproximadamente 26.4 millones de dólares). El contrato afectado, desplegado hace cinco años y sin código abierto, presentaba una vulnerabilidad en una función no auditada. El atacante explotó un error de lógica aritmética (posiblemente truncamiento de enteros) al llamar a la función 0xa0296215() con un msg.value mínimo, lo que permitió la acuñación masiva de tokens TRU. Posteriormente, los intercambió por ETH del contrato mediante la función burn, repitiendo el proceso hasta drenar casi todos los fondos. Los activos robados se encuentran principalmente en las direcciones 0xd12f6e0fa7fbf4e3a1c7996e3f0dd26ab9031a60 (4,267.09 ETH) y 0x273589ca3713e7becf42069f9fb3f0c164ce850a (4,001 ETH). Beosin recomienda actualizar contratos antiguos, implementar mecanismos de pausa de emergencia y realizar auditorías de seguridad para prevenir incidentes similares.

Autor: Beosin

El 9 de enero en la madrugada, un contrato no abierto implementado hace 5 años por Truebit Protocol sufrió un ataque, perdiendo 8,535.36 ETH (valorados en aproximadamente 26.4 millones de dólares). El equipo de seguridad de Beosin realizó un análisis de la vulnerabilidad y el seguimiento de fondos de este incidente de seguridad, y comparte los resultados a continuación:

Análisis de la técnica de ataque

Para este incidente, tomamos como análisis la transacción de ataque más significativa, cuyo hash es: 0xcd4755645595094a8ab984d0db7e3b4aabde72a5c87c4f176a030629c47fb014

1. El atacante llama a getPurchasePrice() para obtener el precio

2. Luego llama a la función defectuosa 0xa0296215(), estableciendo el valor de msg.value extremadamente bajo

Dado que el contrato no es de código abierto, a través del código descompilado se infiere que esta función tiene una vulnerabilidad lógica aritmética, como problemas de truncamiento de enteros, lo que permitió al atacante acuñar con éxito una gran cantidad de tokens TRU.

3. El atacante utiliza la función burn para "vender" los tokens acuñados de vuelta al contrato, extrayendo una gran cantidad de ETH de las reservas del contrato.

Este proceso se repite 4 veces, incrementando el valor de msg.value cada vez, hasta extraer casi todo el ETH del contrato.

Seguimiento de fondos robados

Según los datos de transacciones en cadena, Beosin realizó un seguimiento exhaustivo de los fondos a través de su plataforma de investigación y rastreo en cadena BeosinTrace, y comparte los resultados a continuación:

Actualmente, los 8,535.36 ETH robados, después de ser transferidos, se encuentran en su mayor parte en 0xd12f6e0fa7fbf4e3a1c7996e3f0dd26ab9031a60 y 0x273589ca3713e7becf42069f9fb3f0c164ce850a.

La dirección 0xd12f posee 4,267.09 ETH, y la dirección 0x2735 posee 4,001 ETH. La dirección desde la que el atacante inició el ataque (0x6c8ec8f14be7c01672d31cfa5f2cefeab2562b50) aún tiene 267.71 ETH. Las tres direcciones no han realizado más transferencias de fondos por el momento.

Gráfico de análisis del flujo de fondos robados por Beosin Trace

Todas las direcciones mencionadas han sido marcadas como direcciones de alto riesgo por Beosin KYT. Tomando como ejemplo la dirección del atacante:

Beosin KYT

Conclusión

Los fondos robados en este incidente involucran un contrato inteligente no abierto implementado hace 5 años. Para este tipo de contratos, los proyectos deberían actualizar el contrato, introducir funciones de pausa de emergencia, limitaciones de parámetros y las características de seguridad de las nuevas versiones de Solidity. Además, la auditoría de seguridad sigue siendo un paso esencial para los contratos. A través de auditorías de seguridad, las empresas Web3 pueden detectar de la manera más exhaustiva posible el código del contrato inteligente, encontrar y reparar vulnerabilidades potenciales, mejorando así la seguridad del contrato.

*Beosin proporcionará el informe completo de todos los flujos de fondos y riesgos de direcciones de este incidente. Bienvenidos a solicitarlo a través del correo oficial [email protected].

Preguntas relacionadas

Q¿Qué es el Truebit Protocol y cuánto perdió en el ataque?

ATruebit Protocol es un proyecto de blockchain que sufrió un ataque a un contrato no abierto implementado hace 5 años, perdiendo 8,535.36 ETH (equivalente a aproximadamente 26.4 millones de dólares).

Q¿Cuál fue la principal vulnerabilidad explotada en el ataque según Beosin?

ALa vulnerabilidad explotada fue un problema lógico aritmético en una función no abierta (posiblemente relacionada con truncamiento de enteros), permitiendo al atacante acuñar una gran cantidad de tokens TRU con un msg.value mínimo.

Q¿A qué direcciones se transfirieron la mayoría de los fondos robados?

ALa mayoría de los fondos robados (8,535.36 ETH) fueron transferidos a dos direcciones: 0xd12f6e0fa7fbf4e3a1c7996e3f0dd26ab9031a60 (4,267.09 ETH) y 0x273589ca3713e7becf42069f9fb3f0c164ce850a (4,001 ETH).

Q¿Qué herramienta utilizó Beosin para rastrear el flujo de fondos?

ABeosin utilizó su plataforma de investigación y rastreo en cadena BeosinTrace para realizar un seguimiento detallado del flujo de fondos robados.

Q¿Qué recomendaciones de seguridad sugiere Beosin después de este incidente?

ABeosin recomienda actualizar contratos no abiertos, introducir funciones de pausa de emergencia, limitaciones de parámetros, características de seguridad de nuevas versiones de Solidity y realizar auditorías de seguridad para detectar y reparar vulnerabilidades.

Lecturas Relacionadas

Bitwise: Optimista sobre el mercado de Bitcoin en la segunda mitad del año, la IA y la regulación impulsarán una nueva temporada de altcoins

Bitwise CIO Matt Hougan y el jefe de investigación Ryan Rasmussen expresan un optimismo significativo sobre Bitcoin y el mercado de criptomonedas en la segunda mitad del año. A pesar de un primer trimestre con caídas generalizadas en precios y métricas, destacan que el flujo de noticias positivas —como el lanzamiento de ETFs de Bitcoin por grandes entidades y un nuevo marco regulatorio para tokens— apunta a una recuperación sólida. Hougan argumenta que Bitcoin ofrece una "apuesta dual": es tanto un almacén de valor (oro digital) como una opción de call fuera de dinero para convertirse en un activo de liquidación internacional. Los recientes eventos geopolíticos, como el conflicto con Irán, que ha mencionado usar Bitcoin para pagos, aumentan la probabilidad de este segundo caso, haciendo que la opción sea más valiosa y potencialmente elevando su precio objetivo muy por encima de 1 millón de dólares a largo plazo. Además, Hougan predice un nuevo "altseason" (temporada de altcoins) para 2026, impulsado por la combinación de Inteligencia Artificial (IA), que permite a los proyectos escalar con menos recursos, y el nuevo marco regulatorio claro para tokens, que permite emisiones legales y合规. Esto podría generar una nueva ola de innovación y proyectos tokenizados viables, muy diferente a la era inicial de las ICO. Finalmente, Bitwise anuncia un ETF de Avalanche (AVAX), destacando su arquitectura única y su rápido crecimiento en el segmento de tokenización de activos del mundo real (RWA), que ha crecido un 1000% interanual.

marsbitHace 19 min(s)

Bitwise: Optimista sobre el mercado de Bitcoin en la segunda mitad del año, la IA y la regulación impulsarán una nueva temporada de altcoins

marsbitHace 19 min(s)

El Rally de Bitcoin Cerca de los 80.000 Dólares Alimenta una Fuerte Recuperación del Sentimiento en los Mercados de Criptomonedas

En los últimos 30 días, más de 300.000 Bitcoin se han trasladado a carteras de holders a largo plazo, lo que refleja una creciente convicción entre los inversores serios. El Índice de Miedo y Codicia de Alternative.me subió 14 puntos en un día hasta 46/100, su nivel más alto desde enero, aunque aún se mantiene en zona de "Miedo". Bitcoin se acerca a los $80.000 tras una subida del 5% en 20 horas. Sin embargo, el impulso proviene principalmente del mercado de futuros perpetuos, mientras que la demanda spot sigue siendo débil, lo que históricamente ha llevado a correcciones. Empresas como Strategy (antes MicroStrategy) adquirieron 53.000 BTC en un mes. Aunque los holders a largo plazo están acumulando, los traders minoristas aún no han regresado con fuerza, lo que podría limitar una recuperación sostenida del sentimiento.

bitcoinistHace 57 min(s)

El Rally de Bitcoin Cerca de los 80.000 Dólares Alimenta una Fuerte Recuperación del Sentimiento en los Mercados de Criptomonedas

bitcoinistHace 57 min(s)

Intel se dispara un 20%, la CPU vuelve al centro del escenario en la era de los agentes

Resumen: Intel experimentó un aumento del 20% en sus acciones tras reportar resultados del Q1 2026 que superaron ampliamente las expectativas, con ingresos de $13.6 mil millones (+7% interanual) y EPS no GAAP de $0.29 (29 veces superior a lo previsto). Este repunte se atribuye al resurgimiento estratégico de las CPU en la era de la IA, especialmente en escenarios de inferencia y agentes autónomos, donde el procesamiento central vuelve a ser crítico. El negocio de centros de Cómputo e IA (DCAI) creció un 22%, alcanzando un récord histórico de $5.1 mil millones, marcando una recuperación en forma de U. La tendencia refleja un cambio en el mercado: mientras la fase de entrenamiento de IA dependía mayormente de GPUs, la ejecución de agentes requiere un equilibrio donde las CPU son esenciales para tareas de coordinación, uso de herramientas y gestión de memoria. La reorganización interna de Intel, incluido el nombramiento del nuevo CEO Lip-Bu Tan y el abandono de proyectos de GPU dedicadas, consolidó este enfoque en su fortaleza central.

marsbitHace 1 hora(s)

Intel se dispara un 20%, la CPU vuelve al centro del escenario en la era de los agentes

marsbitHace 1 hora(s)

DeepSeek V4 finalmente se lanza, rompiendo el monopolio de los modelos cerrados más potentes y anunciando colaboración con los chips de Huawei

DeepSeek-V4 ya está aquí: la nueva generación de modelos de inteligencia artificial de DeepSeek se lanza en versión preliminar y de código abierto. Incluye dos variantes: **DeepSeek-V4-Pro**, con 1,6 billones de parámetros y 49.000 millones de activaciones, diseñado para competir con los mejores modelos cerrados; y **DeepSeek-V4-Flash**, una versión más económica con 284.000 millones de parámetros y 13.000 millones de activaciones, optimizada para velocidad y eficiencia. Ambos soportan un contexto de 1 millón de tokens. Según la evaluación interna, DeepSeek-V4 supera a Claude Sonnet 4.5 en tareas de codificación con agentes y se acerca al rendimiento de Opus 4.6 en modo no reflexivo, aunque aún existe una brecha con el modo reflexivo de Opus. El modelo también destaca en conocimientos generales y razonamiento, situándose a la par de los principales modelos cerrados. La gran novedad es la implementación de un nuevo mecanismo de atención que permite el contexto extenso de manera eficiente, combinando compresión de tokens y atención dispersa (DSA). Además, DeepSeek anuncia que **a partir del segundo semestre de 2026, sus servicios admitirán chips Huawei**, reforzando la independencia tecnológica. La API ya está disponible, compatible con las interfaces de OpenAI y Anthropic, y los modelos antiguos se retirarán en julio de 2026. DeepSeek reafirma su compromiso con el avance en IA de código abierto, priorizando la innovación técnica sobre el ruido mediático.

marsbitHace 1 hora(s)

DeepSeek V4 finalmente se lanza, rompiendo el monopolio de los modelos cerrados más potentes y anunciando colaboración con los chips de Huawei

marsbitHace 1 hora(s)

Tether congela 344 millones de USDT involucrados en sanciones estadounidenses, reavivando la polémica sobre el "poder de congelación instantánea" de las stablecoins

Tether, emisor de USDT, congeló 344 millones de USDT en billeteras de Tron tras una orden de OFAC y agencias estadounidenses, en la mayor intervención de este tipo. La medida, vinculada a evasión de sanciones y redes criminales, eleva el total de fondos bloqueados por la compañía a más de 4400 millones de dólares. El CEO Paolo Ardoino defendió la acción, criticando indirectamente a Circle por su respuesta lenta en incidentes previos. La comunidad cripto reaccionó con división: algunos destacan el riesgo de centralización ("tus stablecoins no son tuyas"), mientras otros ven en esto una herramienta eficaz para el cumplimiento normativo. El contexto incluye sanciones reforzadas contra Irán y redes narcotraficantes, aunque análisis de cadena sugieren vínculos limitados con entidades iraníes en este caso concreto. El debate sobre el equilibrio entre control centralizado y descentralización sigue abierto.

marsbitHace 1 hora(s)

Tether congela 344 millones de USDT involucrados en sanciones estadounidenses, reavivando la polémica sobre el "poder de congelación instantánea" de las stablecoins

marsbitHace 1 hora(s)

Trading

Spot
Futuros
活动图片

Categorías popularesright-arrow

Etiquetas Popularesright-arrow