Artículos Relacionados con Hackeo

El Centro de Noticias de HTX ofrece los artículos más recientes y un análisis profundo sobre "Hackeo", cubriendo tendencias del mercado, actualizaciones de proyectos, desarrollos tecnológicos y políticas regulatorias en la industria de cripto.

Nunca imaginé que la primera aplicación práctica de la IA x Crypto sería la auditoría de seguridad

Según los datos, hasta junio de 2026, el TVL total en DeFi ha caído un 39% desde principios de año, mientras que los incidentes de seguridad se han intensificado, con un total de 121 ataques de hackers y pérdidas acumuladas de aproximadamente 942 millones de dólares. La rápida evolución de las herramientas de IA, especialmente tras el lanzamiento del modelo Claude Mythos por parte de Anthropic, ha reducido drásticamente los costes y la habilidad necesaria para encontrar vulnerabilidades en contratos inteligentes. Los atacantes pueden ahora escanear sistemáticamente miles de contratos, incluso descompilando bytecode, lo que ha acortado el ciclo de descubrimiento y explotación a minutos. Esto ha expuesto las deficiencias del modelo de auditoría tradicional, donde los informes tienen una validez limitada. Incluso protocolos auditados como Drift Protocol o KelpDAO han sido vulnerados mediante ingeniería social o fallos en la configuración operativa, mostrando que las auditorías de código ya no son suficientes. La industria se ve forzada a adaptarse: los proyectos requieren auditorías defensivas recurrentes bajo nuevos estándares, y las firmas de auditoría deben evolucionar de un modelo de informe puntual a servicios continuos de monitorización y verificación en tiempo real. Casos como la auditoría IA de Firepan para Curve Finance, que detectó una vulnerabilidad crítica pasada por alto en seis auditorías manuales, demuestran el potencial defensivo de la IA. En conclusión, la seguridad en DeFi ha dejado de ser un trámite previo al lanzamiento para convertirse en una infraestructura que requiere inversión continua, redefiniendo tanto las prácticas de los proyectos como el modelo de negocio de las auditorías.

marsbit06/26 07:27

Nunca imaginé que la primera aplicación práctica de la IA x Crypto sería la auditoría de seguridad

marsbit06/26 07:27

Nadie se lo esperaba: la primera aplicación real de IA x Crypto es la auditoría de seguridad

Los datos muestran que el valor total bloqueado (TVL) en DeFi cayó de aproximadamente 1150 mil millones de dólares a 700 mil millones en el primer semestre de 2026. Paralelamente, los ataques cibernéticos han causado pérdidas cercanas a los 942 millones de dólares en 121 incidentes, con el segundo trimestre siendo el más activo. La popularización de herramientas de IA de nueva generación ha reducido drásticamente el costo y la habilidad necesarios para encontrar vulnerabilidades en contratos inteligentes, desafiando el modelo tradicional de auditoría de seguridad. Los atacantes ahora utilizan IA para escanear miles de contratos, identificar patrones de vulnerabilidad y ejecutar exploits en minutos, lo que hace que los informes de auditoría tradicionales, con validez de meses, sean obsoletos. Incluso protocolos líderes y ampliamente auditados, como Drift Protocol y KelpDAO, han sufrido ataques que explotan fallas en la lógica de negocio, configuración de infraestructura o ingeniería social. Casos como la explotación de contratos históricos desplegados hace años demuestran que el período de protección de una auditoría puede haberse reducido a cero. En respuesta, las empresas de auditoría están desarrollando sistemas de auditoría asistidos por IA y evolucionando de un modelo de informe puntual a servicios de monitoreo continuo, verificación formal y detección de riesgos en tiempo real. Proyectos como Curve Finance y Zcash han beneficiado de auditorías con IA que descubrieron vulnerabilidades complejas pasadas por alto en revisiones humanas. En conclusión, la era de la "auditoría única para siempre" ha terminado. La seguridad debe ser una inversión continua. El sector de la auditoría está en transición de un modelo de bonanza a uno de competencia, donde los actores que se adapten e integren la IA en sus servicios de manera proactiva tendrán mayor probabilidad de sobrevivir.

链捕手06/26 07:19

Nadie se lo esperaba: la primera aplicación real de IA x Crypto es la auditoría de seguridad

链捕手06/26 07:19

El bot MEV más avanzado, robado por 7.5 millones de dólares: ¿Es la 'Aprobación' el riesgo fatal más desatendido en la cadena?

**Resumen: El ataque a un bot de MEV subraya el riesgo crítico y subestimado de las autorizaciones (Approvals) en blockchain** Un sofisticado bot de MEvalor (MEV) en Ethereum, conocido por ejecutar ataques de "sándwich", fue víctima de un ataque inverso que resultó en la pérdida de aproximadamente 7.5 millones de dólares. El atacante no explotó una vulnerabilidad tradicional, sino que diseñó una trampa a medida: durante semanas, desplegó tokens y pools de liquidez falsos que simulaban oportunidades de arbitraje. Esto engañó al sistema automatizado del bot para que otorgara autorizaciones (approvals) de ERC-20 a contratos maliciosos, permitiendo finalmente el drenaje "legal" de sus fondos. Este incidente revela el peligro fundamental de la función de autorización, un mecanismo esencial para que los contratos inteligentes interactúen con los tokens de los usuarios en DeFi. Similar a un permiso de débito automático, una vez concedida, una autorización puede permitir que un contrato retire fondos repetidamente sin más confirmaciones. Los riesgos clave incluyen: 1. **Autorizaciones ilimitadas:** Los usuarios a menudo aprueban cantidades máximas por conveniencia, exponiendo todos sus fondos presentes y futuros. 2. **Persistencia del permiso:** Las autorizaciones permanecen activas en blockchain incluso después de desconectar una cartera o dejar de usar una dApp. 3. **Evolución del riesgo:** Un contrato inicialmente legítimo puede volverse malicioso tras una actualización, un hackeo o una filtración de claves. Para gestionar este riesgo, los usuarios deben adoptar el **principio del menor privilegio** (aprobar solo el monto necesario para una transacción específica), usar **carteras separadas** para almacenamiento e interacciones de alto riesgo, y **revisar y revocar periódicamente** autorizaciones innecesarias usando herramientas como Revoke.cash o funciones integradas en carteras como imToken. Las carteras también tienen un papel crucial en la protección proactiva, implementando advertencias para interacciones riesgosas, analizando y presentando de forma legible el contenido de las firmas (firmado legible o "clear signing") para garantizar que los usuarios comprendan qué están autorizando. La seguridad en Web3 no depende solo de proteger la clave privada, sino también de gestionar activamente a quién se le concede permiso para acceder a los activos, un esfuerzo que requiere tanto conciencia del usuario como mejores herramientas.

marsbit06/24 05:31

El bot MEV más avanzado, robado por 7.5 millones de dólares: ¿Es la 'Aprobación' el riesgo fatal más desatendido en la cadena?

marsbit06/24 05:31

活动图片