Artículos Relacionados con Exploit

El Centro de Noticias de HTX ofrece los artículos más recientes y un análisis profundo sobre "Exploit", cubriendo tendencias del mercado, actualizaciones de proyectos, desarrollos tecnológicos y políticas regulatorias en la industria de cripto.

Cambiando 200,000 por casi 100 millones: otro ataque a una stablecoin DeFi

Un atacante explotó una vulnerabilidad en Resolv Labs, un protocolo DeFi que emite el stablecoin USR utilizando una estrategia delta-neutral. El hacker, con una dirección que comienza con 0x04A2, utilizó 100,000 USDC para acuñar fraudulentamente 50 millones de USR, valorados inicialmente en aproximadamente $50 millones, pero que colapsaron a $0.25 tras el ataque. Repitió el método poco después con otros 100,000 USDC para crear 30 millones más de USR. La causa raíz fue un fallo de diseño: el contrato de acuñación confiaba ciegamente en los parámetros proporcionados por una cuenta con el rol SERVICE_ROLE, que se presume fue comprometida. Este rol, controlado supuestamente por el backend del proyecto, proporcionaba la cantidad de USR a acuñar (*_mintAmount*) sin ninguna verificación en cadena o límite máximo, permitiendo al hacker inyectar un valor arbitrario (50 millones). El ataque provocó una depegación masiva de USR, vació mercados de préstamos en Morpho y Lista DAO, y expuso a grandes pérdidas a poseedores del token de riesgo RLP, incluyendo a Stream Finance. El hacker convirtió el USR robado en más de $20 millones en USDC, USDT y ETH. El protocolo no se pausó hasta 3 horas después del primer ataque, retrasado por la necesidad de recoger 4 firmas para una multisig, lo que evidenció una preparación insuficiente para emergencias. La lección clave es que los protocolos DeFi deben implementar verificaciones en cadena y no confiar en ningún componente externo, incluso si es propio.

marsbit03/22 09:56

Cambiando 200,000 por casi 100 millones: otro ataque a una stablecoin DeFi

marsbit03/22 09:56

BONK.fun se relanza tras el secuestro de dominio y confirma pérdidas de 30.000 dólares

BONK.fun ha reanudado su servicio tras sufrir un secuestro de dominio que resultó en pérdidas de 30.000 dólares. El incidente, ocurrido el 20 de marzo, fue causado por un ataque de ingeniería social al proveedor de servicios de dominio, sin comprometer los sistemas internos de la plataforma. Los atacantes desplegaron una interfaz de phishing que engañó a los usuarios para firmar transacciones maliciosas. Aunque inicialmente se estimaron pérdidas de 23.000 dólares, el equipo confirmó la cifra mayor y se comprometió a reembolsar el 110% de las pérdidas a los afectados. La recuperación del dominio se completó el 19 de marzo, aunque algunos antivirus aún marcan el dominio principal como sospechoso. El precio de BONK continúa mostrando debilidad, cotizando alrededor de 0,0000059 dólares.

ambcrypto03/20 21:05

BONK.fun se relanza tras el secuestro de dominio y confirma pérdidas de 30.000 dólares

ambcrypto03/20 21:05

El airdrop de ROBO bajo escrutinio: $8 millones vinculados a billeteras sospechosas de ser "sybil"

El token ROBO de Fabric Protocol está bajo escrutinio tras revelarse que una única entidad podría haber capturado el 40% del airdrop (199 millones de tokens, valorados en 8 millones de dólares) mediante 7.000 carteras con patrones de transacción idénticos. Según Bubblemaps, estas carteras, financiadas desde siete exchanges con cantidades similares de ETH dos meses antes del lanzamiento, siguieron un flujo coordinado a través de múltiples direcciones intermedias. Aunque no se encontró vinculación con el equipo de Fabric, la concentración de tokens podría ejercer presión vendedora en el mercado. El caso expone los persistentes desafíos de los airdrops frente a ataques Sibil, impulsando la necesidad de mejores mecanismos de prevención. Pese a esto, el precio de ROBO mostró resiliencia, con una apreciación del 14% tras su lanzamiento.

ambcrypto03/20 16:59

El airdrop de ROBO bajo escrutinio: $8 millones vinculados a billeteras sospechosas de ser "sybil"

ambcrypto03/20 16:59

Detrás de la explotación de 3.6 millones de dólares en Venus Protocol en BNB Chain

El protocolo de préstamo Venus en BNB Chain sufrió una explotación de 3.6 millones de dólares mediante manipulación de liquidez del token THE. El atacante acumuló durante meses 14.5 millones de THE (84% del suministro circulante), depositándolos como colateral de forma artificial. Mediante ciclos repetidos de préstamos flash, infló artificialmente el precio del token y sobrepasó los límites del protocolo, extrayendo activos como PancakeSwap, BNB y USDC. Como respuesta, Venus suspendió el mercado de THE e implementó requisitos de colateral más estrictos para activos de alto riesgo, incluyendo Bitcoin Cash y Litecoin. Este incidente sigue a un ataque de phishing en 2025 que causó pérdidas de 27 millones, aunque el valor total bloqueado (TVL) se mantiene estable en 1.470 millones de dólares.

ambcrypto03/16 09:30

Detrás de la explotación de 3.6 millones de dólares en Venus Protocol en BNB Chain

ambcrypto03/16 09:30

Análisis del ataque a Venus THE: ¿Cómo obtener ganancias en una ventana de tiempo instantánea?

Dos horas atrás, Venus sufrió un ataque de manipulación de precios similar al de Mango Markets. El atacante aprovechó la baja liquidez del token THE: lo utilizó como colateral, tomó préstamos de otros activos, compró más THE para inflar artificialmente su precio de $0.27 a casi $5, y repitió el ciclo tras la actualización del oráculo. Para eludir el límite de suministro, realizó un "donation attack" transfiriendo THE directamente al contrato, aumentando artificialmente el valor colateral reconocido. Tras estabilizarse el precio alrededor de $0.5, intentó una segunda ronda de compras, pero la presión de venta y la falta de liquidez hicieron que su posición quedara al borde de la liquidación. Ante la inevitable liquidación y la incapacidad del mercado de absorber THE a precios inflados, el autor abrió una posición corta con alto leverage, aprovechando la sobrevaloración y la iliquidez. Tras la liquidación, THE cayó a $0.24, generando una ganancia de ~15K para el autor y dejando ~2M en deuda impaga para Venus. El evento demuestra que en DeFi el "valor colateral nominal" no equivale al "valor liquidable real" cuando los activos carecen de liquidez suficiente.

marsbit03/16 08:39

Análisis del ataque a Venus THE: ¿Cómo obtener ganancias en una ventana de tiempo instantánea?

marsbit03/16 08:39

Venus Protocol Detecta Ataque de Límite de Suministro de $3.7M en THE Pool

El 15 de marzo, Venus Protocol detectó actividad sospechosa en su pool de liquidez del token Thena (THE). Según su gestor de riesgos, Allez Labs, el ataque ocurrió en dos fases: primero, el atacante acumuló aproximadamente el 84% de la capitalización de mercado de THE. Luego, usó estos tokens como garantía para tomar préstamos de otros activos, incluyendo 6.67 millones de CAKE, 1.58 millones de USDC, 2,801 BNB y 20 Bitcoin. Las pérdidas superaron los 3.7 millones de dólares, afectando directamente los pools de THE y CAKE. Venus respondió suspendiendo todos los préstamos y retiros de THE, así como de otros tokens de baja liquidez como medida preventiva. Este incidente destaca una amenaza a nivel de protocolo en DeFi, diferente de los ataques de phishing dirigidos a usuarios individuales.

TheNewsCrypto03/16 05:19

Venus Protocol Detecta Ataque de Límite de Suministro de $3.7M en THE Pool

TheNewsCrypto03/16 05:19

Advertencia Cripto: Hackeo del Dominio Bonk.fun Expone a los Traders de Solana a un Drenaje de Carteras

La plataforma de criptomonedas Bonk.fun confirmó que su dominio principal fue hackeado, exponiendo a los usuarios a un exploit de drenaje de carteras. Los operadores advirtieron a través de X (antes Twitter) que no se interactuara con el sitio web hasta nuevo aviso, ya que los atacantes inyectaron un drenador de fondos. El método consistía en una solicitud fraudulenta de firma de "Términos de Servicio" que, al ser autorizada, permitía el robo de activos. Solo se vieron comprometidos quienes interactuaron con este mensaje falso después del hackeo; los usuarios previamente conectados o quienes operaban en terminales de terceros no se vieron afectados. Las pérdidas fueron mínimas gracias a la detección temprana. Este incidente, clasificado como una falla de infraestructura Web2 que afectó a Web3, refleja una tendencia creciente de ataques de phishing por aprobación que han robado miles de millones en los últimos años. Se recomienda a los usuarios interactuar directamente con contratos o agregadores confiables y revisar regularmente las aprobaciones de tokens.

bitcoinist03/14 13:04

Advertencia Cripto: Hackeo del Dominio Bonk.fun Expone a los Traders de Solana a un Drenaje de Carteras

bitcoinist03/14 13:04

50 millones de USDT cambiados por 35,000 dólares en AAVE: ¿Cómo ocurrió el desastre? ¿A quién culpamos?

**Resumen en español:** Un usuario intentó intercambiar 50.4 millones de USDT en aEthUSDT por aEthAAVE como garantía en Aave, pero terminó recibiendo solo 327 aEthAAVE (equivalente a ~$35,900), perdiendo efectivamente casi 50 millones de dólares. La transacción fue válida y todos los contratos (Aave, CoW Protocol, Uniswap, SushiSwap) funcionaron según lo programado. El desastre no fue un hack, sino un **fallo catastrófico en el enrutamiento y la evaluación de riesgos.** El problema central fue que la ruta de ejecución, calculada por el solver de CoW Protocol, envió los fondos a un grupo de liquidez minúsculo de SushiSwap (AAVE/WETH) que solo contenía ~331 AAVE y ~17.6 WETH. La orden, de ~17,958 WETH, era más de 1000 veces mayor que la liquidez disponible, lo que resultó en un precio de ejecución desastroso de ~$154,000 por AAVE. El sistema de CoW consideró la ruta "válida" simplemente porque era ejecutable y producía una cantidad mayor que cero, sin realizar comprobaciones de sentido común sobre el impacto económico o la liquidez. La interfaz de Aave también tuvo parte de culpa: su adaptador para CoW solicitó cotizaciones sin datos cruciales, lo que llevó a una cotización defectuosa, y mostró solo una advertencia de "alto impacto en el precio" (que el usuario aceptó) en lugar de un rechazo contundente para una operación tan grande y peligrosa. El valor perdido fue inmediatamente arbitrado en el siguiente bloque, beneficiando a un arbitrajista y al constructor del bloque. La responsabilidad recae principalmente en la lógica de enrutamiento de CoW y secundariamente en los controles insuficientes de la interfaz de Aave.

Odaily星球日报03/13 12:54

50 millones de USDT cambiados por 35,000 dólares en AAVE: ¿Cómo ocurrió el desastre? ¿A quién culpamos?

Odaily星球日报03/13 12:54

El Hackeo a Bonk.fun Expone a Usuarios de Solana a Ataques de Drenaje de Carteras

La vulnerabilidad de seguridad en Bonk.fun permitió que enlaces maliciosos drenaran fondos de usuarios desprevenidos. Los atacantes inyectaron scripts maliciosos que redirigían a sitios de phishing, solicitando aprobaciones de carteras conectadas. Estas aprobaciones permitieron el drenaje automático de tokens hacia direcciones controladas por los atacantes. La plataforma, relacionada con el trading de memecoins y DeFi en Solana, fue comprometida mediante interfaces falsas que simulaban reclamaciones de recompensas. Los activos eran sustraídos en segundos tras la aprobación del usuario. El equipo de Bonk.fun advirtió inmediatamente: "Un actor malicioso ha comprometido el dominio. No interactúen con el sitio". Los desarrolladores eliminaron los scripts maliciosos, revisaron integraciones y alertaron a los usuarios para revocar aprobaciones sospechosas. La comunidad respondió rápidamente, monitoreando transacciones y compartiendo advertencias en redes sociales. Aunque el incidente generó preocupación en el ecosistema, la respuesta rápida ayudó a limitar daños potenciales.

TheNewsCrypto03/12 11:18

El Hackeo a Bonk.fun Expone a Usuarios de Solana a Ataques de Drenaje de Carteras

TheNewsCrypto03/12 11:18

El Stack de Seguridad Web3 Destaca la Amenaza de un Paquete NPM Malicioso

Web3 Antivirus, un stack de seguridad para Web3, ha alertado sobre una nueva amenaza: un paquete malicioso de NPM que se hace pasar por un instalador de OpenClaw para macOS. Una vez instalado, despliega un instalador falso de CLI que solicita la contraseña del llavero del sistema. Si se introduce, el malware extrae y envía al atacante información sensible como frases semilla, credenciales de navegadores, datos de carteras cripto y claves SSH y de cloud. Previamente, la misma firma advirtió sobre extensiones legítimas de Chrome (QuickLens y ShotBird) que se volvieron maliciosas tras un cambio de propiedad, permitiendo inyectar código para robar datos de usuarios. Para 2026, se prevé que las principales amenazas de seguridad en Web3 sigan siendo los exploits de contratos inteligentes (aprovechando errores lógicos y fallos de control de acceso) y el phishing e ingeniería social. También se destacan los drenadores de carteras, la manipulación de claves privadas y la manipulación de oráculos de precios, todos con el objetivo final de robar datos y fondos.

TheNewsCrypto03/10 12:12

El Stack de Seguridad Web3 Destaca la Amenaza de un Paquete NPM Malicioso

TheNewsCrypto03/10 12:12

活动图片

Categorías popularesright-arrow

Etiquetas Popularesright-arrow

Estrategias de Trading

Actualizaciones del Proyecto