Por Canuto ZetaChain reconoció que la vulnerabilidad detrás del exploit por USD $334.000 ya había sido reportada mediante su programa de bug bounty, pero fue descartada como comportamiento esperado. El caso reabre el debate sobre cómo los protocolos DeFi evalúan fallas pequeñas que, al combinarse, terminan convirtiéndose en ataques de alto impacto.
***
- ZetaChain confirmó que el fallo explotado había sido reportado antes del ataque y no fue tratado como una amenaza real.
- El atacante combinó tres debilidades de diseño para drenar fondos en nueve transacciones a través de Ethereum, Arbitrum, Base y BSC.
- Un estudio citado por la fuente muestra que la IA puede elevar notablemente la tasa de éxito de exploits DeFi cuando recibe conocimiento estructurado.
ZetaChain publicó un análisis posterior al incidente que dejó un dato especialmente incómodo para el protocolo: la vulnerabilidad usada en el exploit por USD $334.000 ya había sido reportada antes a través de su programa de recompensas por errores. Sin embargo, la presentación fue desestimada porque el comportamiento descrito se interpretó como esperado dentro del sistema.
El caso ha vuelto a poner el foco sobre un problema frecuente en DeFi. Algunas vulnerabilidades no parecen graves cuando se observan de forma aislada, pero sí se vuelven críticas cuando un atacante logra encadenarlas. En este episodio, ZetaChain admitió que el incidente le ha obligado a revisar cómo evalúa los reportes de bug bounty, sobre todo aquellos que describen vectores compuestos.
Según explicó Cointelegraph, el exploit ocurrió el domingo y apuntó al contrato gateway cross-chain del protocolo. La pérdida fue de aproximadamente USD $334.000, extraídos mediante nueve transacciones distribuidas en cuatro redes: Ethereum, Arbitrum, Base y BSC. ZetaChain aseguró que los fondos de usuarios no se vieron afectados, ya que el drenaje involucró billeteras controladas por la propia plataforma.
La noticia también generó críticas dentro de la comunidad. Un usuario señaló que el error había sido reportado y simplemente ignorado, y cuestionó el funcionamiento actual de varios programas de bug bounty en protocolos cripto. La crítica apunta a un incentivo mal alineado: dejar pasar una falla hasta que cause pérdidas mayores, en lugar de recompensar adecuadamente a quien la detecta a tiempo.
Cómo se produjo el exploit
Para entender el incidente conviene repasar el papel de un gateway cross-chain. Este tipo de contrato sirve como una especie de puente operativo entre distintas redes, permitiendo que mensajes o instrucciones se ejecuten entre ecosistemas separados. Esa utilidad también implica una gran superficie de ataque, porque errores pequeños en permisos, validaciones o aprobaciones pueden amplificarse rápidamente.
En su post-mortem, ZetaChain sostuvo que el atacante combinó tres fallas de diseño. La primera era que el gateway permitía a cualquier actor enviar instrucciones cross-chain arbitrarias sin restricciones suficientes. En otras palabras, el componente aceptaba órdenes con demasiada libertad.
La segunda debilidad estaba en el extremo receptor. Allí, el sistema ejecutaba casi cualquier comando sobre casi cualquier contrato. El filtrado dependía de una blocklist tan limitada que ni siquiera cubría funciones básicas de transferencia de tokens, lo que dejó abierta una ruta práctica para mover fondos.
La tercera falla tenía que ver con las aprobaciones heredadas. Billeteras que habían utilizado antes el gateway mantenían permisos ilimitados de gasto, y esos permisos no fueron limpiados. Ese detalle, que por sí solo podría parecer operativo, terminó siendo decisivo cuando se combinó con las otras dos condiciones.
Al unir esos tres elementos, el atacante no necesitó una mecánica especialmente exótica. Bastó con instruir al gateway para transferir tokens desde las billeteras afectadas hacia una dirección bajo su control. El gateway ejecutó esas órdenes y permitió el drenaje de fondos.
Un ataque preparado con antelación
ZetaChain afirmó que no se trató de un ataque oportunista. De acuerdo con su reconstrucción, la billetera del atacante fue financiada a través de Tornado Cash tres días antes del exploit. Ese detalle sugiere una fase previa de preparación, tanto para cubrir costos operativos como para dificultar el rastreo del origen de los fondos.
El equipo también indicó que el atacante desplegó un contrato drainer diseñado específicamente en ZetaChain. Eso refuerza la idea de que la operación fue planificada con conocimiento concreto de la arquitectura del protocolo, y no como un intento improvisado sobre una falla recién descubierta.
Además, la investigación interna señaló una campaña de poisoning de direcciones antes de la ejecución del exploit. Luego, esa actividad fue sembrada en el historial de transacciones mediante transferencias dust. En seguridad blockchain, estas tácticas suelen usarse para introducir ruido, contaminar referencias visuales o volver más confuso el análisis de movimientos previos y posteriores.
La secuencia completa revela un patrón ya conocido en ataques DeFi modernos. Un agresor puede aprovechar errores técnicos, pero también sumar técnicas de ofuscación y preparación operativa para elevar la probabilidad de éxito y reducir su exposición. Eso hace aún más relevante el análisis temprano de reportes de seguridad aparentemente menores.
La respuesta de ZetaChain tras el incidente
Como parte de la mitigación, ZetaChain informó que ya está desplegando en los nodos de mainnet un parche que desactiva de forma permanente la funcionalidad de llamadas arbitrarias. Esa decisión apunta directamente al vector más delicado del incidente, porque limita la capacidad del gateway para ejecutar instrucciones no acotadas.
La plataforma también eliminó las aprobaciones ilimitadas de tokens de su flujo de depósitos. En adelante, según explicó, utilizará aprobaciones por cantidad exacta. Esta práctica es vista por muchos equipos de seguridad como una mejora importante, ya que reduce el riesgo asociado a permisos amplios que quedan activos más tiempo del necesario.
Más allá del parche técnico, el episodio deja una lección de proceso. En entornos DeFi, una revisión superficial de reportes puede pasar por alto interacciones peligrosas entre componentes. Un permiso excesivo, una lista de bloqueo incompleta y una aprobación heredada pueden parecer problemas separados, pero juntos forman una ruta clara de explotación.
Ese punto resulta clave para protocolos que operan infraestructura multi-chain. Cuando un sistema coordina activos, mensajes y ejecución entre varias redes, el costo de subestimar fallas de diseño sube de manera considerable. No siempre hace falta un bug complejo en criptografía o consenso; a veces basta una cadena de supuestos inseguros.
La IA y el nuevo escenario para los exploits DeFi
La misma cobertura incorporó otro ángulo relevante para el sector. Un estudio de a16z evaluó si un agente de IA listo para usar podía no solo identificar vulnerabilidades en DeFi, sino también producir exploits funcionales. La prueba utilizó Codex de OpenAI sobre un conjunto de datos de 20 incidentes reales de manipulación de precios en Ethereum.
Los investigadores ejecutaron el agente en un entorno sandbox, sin acceso a datos de transacciones futuras y sin explicaciones previas sobre cómo funcionaban los ataques analizados. En ese escenario, la IA tuvo éxito en apenas el 10% de los casos. El resultado sugiere que, sin contexto suficiente, la automatización todavía enfrenta límites importantes.
Sin embargo, el panorama cambió de forma drástica cuando los investigadores aportaron conocimiento estructurado sobre patrones comunes de ataque y flujos de trabajo de explotación. Con esa ayuda, la tasa de éxito subió al 70%. El salto no prueba que la IA pueda reemplazar por completo a un atacante humano experto, pero sí muestra que puede convertirse en un acelerador peligroso.
El contraste con el incidente de ZetaChain es inevitable. Si los protocolos ya tienen dificultades para valorar reportes humanos que describen cadenas de riesgo, el aumento de herramientas capaces de modelar ataques compuestos podría elevar la presión sobre auditorías, bug bounties y procesos internos de triage. En otras palabras, el problema ya no es solo encontrar fallas, sino comprender cómo se conectan antes de que alguien las arme en producción.
En ese contexto, el exploit de ZetaChain funciona como advertencia para todo el sector. No hubo afectación a fondos de usuarios, según la propia plataforma, pero la pérdida de aproximadamente USD $334.000 y el reconocimiento de que el problema ya había sido reportado exponen un punto débil difícil de ignorar. En DeFi, los errores pequeños rara vez permanecen pequeños cuando un atacante encuentra la manera de encadenarlos.
Imagen original de DiarioBitcoin, creada con inteligencia artificial, de uso libre, licenciada bajo Dominio Público.
Este artículo fue escrito por un redactor de contenido de IA y revisado por un editor humano para garantizar calidad y precisión.
ADVERTENCIA: DiarioBitcoin ofrece contenido informativo y educativo sobre diversos temas, incluyendo criptomonedas, IA, tecnología y regulaciones. No brindamos asesoramiento financiero. Las inversiones en criptoactivos son de alto riesgo y pueden no ser adecuadas para todos. Investigue, consulte a un experto y verifique la legislación aplicable antes de invertir. Podría perder todo su capital.
Suscríbete a nuestro boletín
Artículos Relacionados
Asia
Sri Lanka revela otro pago desaparecido tras hackeo de USD $2,5 millones al ministerio de finanzas
Blockchain
Andre Cronje advierte que DeFi ya no es realmente DeFi tras nuevos exploits
Europa
UE acusa a Meta de incumplir la ley por no impedir acceso de menores a Facebook e Instagram
Criptomonedas