Pérdidas superan los 26 millones de dólares: Análisis del incidente de seguridad de Truebit Protocol y seguimiento del flujo de fondos robados

marsbitPublicado a 2026-01-09Actualizado a 2026-01-09

Resumen

El protocolo Truebit sufrió un ataque el 9 de enero, resultando en una pérdida de 8,535.36 ETH (aproximadamente 26.4 millones de dólares). El contrato afectado, desplegado hace cinco años y sin código abierto, presentaba una vulnerabilidad en una función no auditada. El atacante explotó un error de lógica aritmética (posiblemente truncamiento de enteros) al llamar a la función 0xa0296215() con un msg.value mínimo, lo que permitió la acuñación masiva de tokens TRU. Posteriormente, los intercambió por ETH del contrato mediante la función burn, repitiendo el proceso hasta drenar casi todos los fondos. Los activos robados se encuentran principalmente en las direcciones 0xd12f6e0fa7fbf4e3a1c7996e3f0dd26ab9031a60 (4,267.09 ETH) y 0x273589ca3713e7becf42069f9fb3f0c164ce850a (4,001 ETH). Beosin recomienda actualizar contratos antiguos, implementar mecanismos de pausa de emergencia y realizar auditorías de seguridad para prevenir incidentes similares.

Autor: Beosin

El 9 de enero en la madrugada, un contrato no abierto implementado hace 5 años por Truebit Protocol sufrió un ataque, perdiendo 8,535.36 ETH (valorados en aproximadamente 26.4 millones de dólares). El equipo de seguridad de Beosin realizó un análisis de la vulnerabilidad y el seguimiento de fondos de este incidente de seguridad, y comparte los resultados a continuación:

Análisis de la técnica de ataque

Para este incidente, tomamos como análisis la transacción de ataque más significativa, cuyo hash es: 0xcd4755645595094a8ab984d0db7e3b4aabde72a5c87c4f176a030629c47fb014

1. El atacante llama a getPurchasePrice() para obtener el precio

2. Luego llama a la función defectuosa 0xa0296215(), estableciendo el valor de msg.value extremadamente bajo

Dado que el contrato no es de código abierto, a través del código descompilado se infiere que esta función tiene una vulnerabilidad lógica aritmética, como problemas de truncamiento de enteros, lo que permitió al atacante acuñar con éxito una gran cantidad de tokens TRU.

3. El atacante utiliza la función burn para "vender" los tokens acuñados de vuelta al contrato, extrayendo una gran cantidad de ETH de las reservas del contrato.

Este proceso se repite 4 veces, incrementando el valor de msg.value cada vez, hasta extraer casi todo el ETH del contrato.

Seguimiento de fondos robados

Según los datos de transacciones en cadena, Beosin realizó un seguimiento exhaustivo de los fondos a través de su plataforma de investigación y rastreo en cadena BeosinTrace, y comparte los resultados a continuación:

Actualmente, los 8,535.36 ETH robados, después de ser transferidos, se encuentran en su mayor parte en 0xd12f6e0fa7fbf4e3a1c7996e3f0dd26ab9031a60 y 0x273589ca3713e7becf42069f9fb3f0c164ce850a.

La dirección 0xd12f posee 4,267.09 ETH, y la dirección 0x2735 posee 4,001 ETH. La dirección desde la que el atacante inició el ataque (0x6c8ec8f14be7c01672d31cfa5f2cefeab2562b50) aún tiene 267.71 ETH. Las tres direcciones no han realizado más transferencias de fondos por el momento.

Gráfico de análisis del flujo de fondos robados por Beosin Trace

Todas las direcciones mencionadas han sido marcadas como direcciones de alto riesgo por Beosin KYT. Tomando como ejemplo la dirección del atacante:

Beosin KYT

Conclusión

Los fondos robados en este incidente involucran un contrato inteligente no abierto implementado hace 5 años. Para este tipo de contratos, los proyectos deberían actualizar el contrato, introducir funciones de pausa de emergencia, limitaciones de parámetros y las características de seguridad de las nuevas versiones de Solidity. Además, la auditoría de seguridad sigue siendo un paso esencial para los contratos. A través de auditorías de seguridad, las empresas Web3 pueden detectar de la manera más exhaustiva posible el código del contrato inteligente, encontrar y reparar vulnerabilidades potenciales, mejorando así la seguridad del contrato.

*Beosin proporcionará el informe completo de todos los flujos de fondos y riesgos de direcciones de este incidente. Bienvenidos a solicitarlo a través del correo oficial [email protected].

Preguntas relacionadas

Q¿Qué es el Truebit Protocol y cuánto perdió en el ataque?

ATruebit Protocol es un proyecto de blockchain que sufrió un ataque a un contrato no abierto implementado hace 5 años, perdiendo 8,535.36 ETH (equivalente a aproximadamente 26.4 millones de dólares).

Q¿Cuál fue la principal vulnerabilidad explotada en el ataque según Beosin?

ALa vulnerabilidad explotada fue un problema lógico aritmético en una función no abierta (posiblemente relacionada con truncamiento de enteros), permitiendo al atacante acuñar una gran cantidad de tokens TRU con un msg.value mínimo.

Q¿A qué direcciones se transfirieron la mayoría de los fondos robados?

ALa mayoría de los fondos robados (8,535.36 ETH) fueron transferidos a dos direcciones: 0xd12f6e0fa7fbf4e3a1c7996e3f0dd26ab9031a60 (4,267.09 ETH) y 0x273589ca3713e7becf42069f9fb3f0c164ce850a (4,001 ETH).

Q¿Qué herramienta utilizó Beosin para rastrear el flujo de fondos?

ABeosin utilizó su plataforma de investigación y rastreo en cadena BeosinTrace para realizar un seguimiento detallado del flujo de fondos robados.

Q¿Qué recomendaciones de seguridad sugiere Beosin después de este incidente?

ABeosin recomienda actualizar contratos no abiertos, introducir funciones de pausa de emergencia, limitaciones de parámetros, características de seguridad de nuevas versiones de Solidity y realizar auditorías de seguridad para detectar y reparar vulnerabilidades.

Lecturas Relacionadas

La IA genera contenidos que engañan a la vista, ¿cómo pueden protegerse los usuarios de criptomonedas contra las nuevas estafas?

La inteligencia artificial (IA) ha revolucionado las estafas en el ámbito cripto, haciendo que los métodos tradicionales de detección (como buscar errores gramaticales o de formato) sean obsoletos. Los estafadores ahora utilizan herramientas de IA para generar correos, sitios web y mensajes en redes sociales muy convincentes y personalizados, que pueden incluir detalles específicos del usuario obtenidos de filtraciones de datos. En el mundo de las criptomonedas, donde las transacciones son irreversibles, los riesgos son altos. Las estafas comunes incluyen sitios web de airdrop falsos, páginas de inicio de sesión de intercambios falsificadas, solicitudes de permisos maliciosos para carteras y suplantación de identidad de soporte al cliente. Para protegerse, los usuarios deben adoptar una mentalidad de **verificación constante** y no confiar en la apariencia profesional. Las medidas clave son: 1. **Verificar siempre los dominios de los sitios web** manualmente o mediante marcadores guardados. 2. **Utilizar únicamente enlaces de canales oficiales** y desconfiar de mensajes directos no solicitados. 3. **Revisar minuciosamente los permisos solicitados por la cartera**, evitando autorizaciones infinitas. 4. **Comprobar todos los detalles de una transacción** antes de firmarla, especialmente ante mensajes que crean urgencia. 5. **Verificar direcciones de contratos inteligentes** a través de fuentes oficiales, no solo confiar en nombres o logotipos de tokens. 6. **Desconfiar de los mensajes de "soporte técnico" no solicitados**, ya que los servicios legítimos casi nunca los inician por privado. 7. **Tomarse tiempo y no ceder a la presión** de mensajes que exigen acción inmediata. La seguridad ya no depende de detectar contenido mal elaborado, sino de verificar metódicamente cada enlace, cada solicitud de cartera y cada comunicación antes de actuar. Una apariencia pulida ya no es sinónimo de legitimidad.

Foresight NewsHace 7 min(s)

La IA genera contenidos que engañan a la vista, ¿cómo pueden protegerse los usuarios de criptomonedas contra las nuevas estafas?

Foresight NewsHace 7 min(s)

Estructura de ajuste mensual de Bitcoin se consolida, momento de entrada de HYPE se perfila | Análisis de invitado

**Resumen del Análisis de Mercado de Bitcoin y HYPE (Semana del 8 al 14 de junio)** El Bitcoin confirmó una estructura de corrección mensual en forma de tres ondas (a-b-c) tras romper el soporte clave de 60.000 USD, alcanzando un mínimo de 59.100 USD. Actualmente se encuentra en la fase de onda c bajista, con un ajuste que lleva unos 35 días y se considera incompleto. **Perspectiva BTC:** * **Estructura:** Corrección mensual a-b-c en curso desde el máximo histórico de 126.200 USD (octubre 2025). * **Niveles Clave:** * **Resistencias:** 65.000 USD y la zona fuerte de 69.500-70.500 USD. * **Soportes:** 59.000-60.000 USD y 55.000 USD. * **Estrategia:** La visión de mediano plazo es bajista. Se sugiere esperar rebotes hacia las zonas de resistencia mencionadas para buscar oportunidades de venta. Se presentan tres planes (A, B, C) para ventas en 65.000 USD, 69.500-70.500 USD, o tras una ruptura de 59.000-60.000 USD. **Perspectiva HYPE:** * **Situación Actual:** Tras una caída del 27% desde un máximo de 75.87 USD, el precio encontró soporte alrededor de 55 USD. Ahora se encuentra en una fase de rebote técnico. * **Niveles Clave:** * **Resistencias:** 62.5-64.57 USD y 68-70 USD. * **Soportes:** 55-57 USD y 47-49 USD. * **Estrategia:** En el corto plazo, se sugiere una estrategia de compra en soportes. Considerar operaciones de compra con bajo volumen (menos del 30% de capital) si el precio se estabiliza en las zonas de soporte de 55-57 USD o 47-49 USD, siempre con gestión estricta de riesgos. **Advertencia:** Los mercados son volátiles. Este análisis, basado en teoría de ondas y modelos técnicos, es únicamente informativo y no constituye asesoramiento de inversión. Opere con precaución.

marsbitHace 23 min(s)

Estructura de ajuste mensual de Bitcoin se consolida, momento de entrada de HYPE se perfila | Análisis de invitado

marsbitHace 23 min(s)

Valoración supera los 200.000 millones, se filtra que Kimi obtiene 13.600 millones más en financiación, acelerando su OPV en Hong Kong

Según informes, la startup china de IA Moon Dark Side (creadora del asistente Kimi) está en conversaciones para una nueva ronda de financiación que podría alcanzar los 20.000 millones de dólares (unos 136.000 millones de RMB), con el objetivo de alcanzar una valoración de 300.000 millones de dólares (unos 2,035 billones de RMB). Esto supone un incremento de aproximadamente 6 veces respecto a su valoración de 43.000 millones de dólares en diciembre pasado y sería su tercera ronda en seis meses. La empresa, fundada en 2023 por Yang Zhilin, lanzó su modelo principal Kimi K2.6 en abril, cuyo rendimiento se equipara o supera en algunos aspectos al de modelos líderes como GPT-5.4. Su producto Kimi Work, actualmente en fase beta, funciona como un agente local para trabajadores del conocimiento. En cuanto a su actividad comercial, la startup ya genera ingresos, con ingresos anuales recurrentes (ARR) que superaron los 2.000 millones de dólares en abril. Según Bloomberg, la empresa está preparando una posible OPV en Hong Kong. Este movimiento refleja una aceleración en los procesos de capitalización de las principales empresas de modelos de lenguaje en China, como Moon Dark Side, Stepfun y DeepSeek, siguiendo la tendencia global marcada por OpenAI y Anthropic. La financiación y las salidas a bolsa se están convirtiendo en variables clave para la competencia en el sector.

marsbitHace 29 min(s)

Valoración supera los 200.000 millones, se filtra que Kimi obtiene 13.600 millones más en financiación, acelerando su OPV en Hong Kong

marsbitHace 29 min(s)

El KOSPI de Corea del Sur cae un 8,37% en la apertura y activa el corte de emergencia: los 'dos pilares' del mercado alcista devoran el índice en un día

El índice principal de Corea del Sur, KOSPI, cayó abruptamente un 8.37% minutos después de la apertura del 8 de junio, desencadenando el mecanismo de suspensión de operaciones (circuit breaker). La venta masiva se concentró en las dos acciones que han impulsado el mercado alcista de 2026: Samsung Electronics y SK Hynix. Juntas, representan más de la mitad de la capitalización del mercado y contribuyeron con aproximadamente el 70% de las ganancias del índice este año, lo que dejó al mercado extremadamente vulnerable a una corrección. El detonante inmediato fueron las ventas en el sector de semiconductores en EE.UU., tras unas previsiones de ingresos de Broadcom para chips de IA que decepcionaron al mercado. Esto provocó una caída en cadena que llegó a Corea. La corrección se vio amplificada por factores estructurales locales: un récord de crédito de margen (más de 38 billones de wones) utilizado por inversores minoristas, la existencia de ETF apalancados sobre las acciones de los chips y el trading algorítmico. El won también se debilitó, presionando aún más al mercado. Las autoridades financieras surcoreanas emitieron una declaración de emergencia para calmar los mercados, mientras que las advertencias previas del gobernador del banco central sobre los riesgos de la inversión apalancada parecen haberse materializado. A pesar de la severa caída, algunos analistas como Goldman Sachs mantienen una perspectiva positiva a largo plazo para el KOSPI. No obstante, el evento expuso la peligrosa dependencia del mercado de sólo un par de valores.

marsbitHace 30 min(s)

El KOSPI de Corea del Sur cae un 8,37% en la apertura y activa el corte de emergencia: los 'dos pilares' del mercado alcista devoran el índice en un día

marsbitHace 30 min(s)

¿Crisis del interés compuesto en la era de las altas valoraciones? ¿Podría Estados Unidos enfrentar una nueva "década perdida"?

**Resumen: La crisis del interés compuesto en una era de elevadas valoraciones, ¿se enfrentará el mercado estadounidense a una nueva "década perdida"?** El análisis histórico de 155 años del mercado estadounidense revela que los períodos prolongados de rendimientos reales estancados o negativos no son anomalías, sino etapas estructurales recurrentes. Identifica tres fases claras (1929-1954, 1966-1982, 2000-2013) que en conjunto abarcan aproximadamente el 35% del tiempo desde 1871. Estos "decenios perdidos" no solo retrasan la acumulación de riqueza, sino que infligen un daño permanente a la trayectoria del interés compuesto debido a las matemáticas de la recuperación (ej. una caída del 50% requiere una subida del 100%). Las condiciones actuales presentan similitudes preocupantes con los preludios históricos. El ratio CAPE se sitúa en el percentil 99 desde 1881, y otros indicadores como el "Buffett Indicator" y el Q de Tobin también señalan niveles de valoración extremadamente elevados, asociados históricamente a bajos rendimientos futuros a 10 años. El estudio desmonta el argumento común contra la gestión táctica basado en "perderse los mejores días". Demuestra que el 90% de los 20 mejores días del S&P 500 (1988-2025) ocurrieron cuando el índice estaba por debajo de su media móvil de 200 días, a menudo en medio de crisis y adyacentes a los peores días, por lo que es prácticamente imposible capturar los unos sin sufrir los otros. La conclusión clave para los inversores y asesores no es elegir entre optimismo o pesimismo, sino entre la complacencia y la preparación. Reconocer un entorno vulnerable mediante señales como la valoración extrema y el deterioro temprano de la amplitud del mercado (participación de los valores) permite adoptar un marco disciplinado para proteger el capital y el interés compuesto, sin necesidad de una cronometración perfecta. La historia muestra que las condiciones que suelen preceder a una "década perdida" son identificables.

marsbitHace 48 min(s)

¿Crisis del interés compuesto en la era de las altas valoraciones? ¿Podría Estados Unidos enfrentar una nueva "década perdida"?

marsbitHace 48 min(s)

Trading

Spot
Futuros
活动图片

Categorías popularesright-arrow

Etiquetas Popularesright-arrow