Por Canuto Project 0, una correduría principal nativa de DeFi, confirmó pérdidas de usuarios luego de que atacantes secuestraran temporalmente su dominio y redirigieran visitas a un sitio malicioso. El incidente ocurre mientras Ethereum enfrenta un aumento de ataques de envenenamiento de direcciones y transferencias de polvo tras la actualización Fusaka.
***
- El fundador de Project 0, MacBrennan Peet, prometió reembolsar por completo las pérdidas verificadas derivadas del ataque.
- Los atacantes habrían comprometido la cuenta de GitHub de un integrante del equipo para redirigir el tráfico del sitio durante unos 40 minutos.
- En Ethereum, las transferencias “de centavos” en USDT aumentaron 612% tras Fusaka, en medio de pérdidas confirmadas por USD $79.000.000.
Project 0, una plataforma descrita como correduría principal nativa de DeFi, informó pérdidas de usuarios después de que atacantes tomaran el control temporal de su dominio y redirigieran a los visitantes hacia un sitio diseñado para robar criptomonedas. El incidente fue divulgado por su fundador, MacBrennan Peet, quien aseguró que la empresa reembolsará por completo cualquier pérdida confirmada relacionada con el ataque.
De acuerdo con el reporte original de Cryptopolitan, al menos un usuario perdió USD $1.000 luego de acceder al nuevo sitio por curiosidad. El caso se suma a una cadena de incidentes recientes en el ecosistema cripto, en especial sobre Ethereum, donde actores maliciosos han intensificado sus tácticas para explotar entornos de alta liquidez.
La situación también reaviva una preocupación más amplia para usuarios de finanzas descentralizadas. Aunque los contratos y fondos de los protocolos no siempre son comprometidos de forma directa en este tipo de episodios, la interfaz web suele ser un punto crítico. Si un atacante controla el dominio o la ruta de acceso del usuario, puede inducir firmas maliciosas, redirecciones y robos sin tocar la infraestructura central del protocolo.
En este caso, la ventana de ataque fue breve, pero suficiente para causar pérdidas. Según explicó Peet, los atacantes consiguieron acceso a la cuenta de GitHub de un miembro del equipo, lo que permitió redirigir las visitas al sitio entre las 9:45 PM y las 10:19 PM. El fundador no precisó la zona horaria, pero indicó que el tráfico dentro de ese lapso fue enviado a una página fraudulenta.
Cómo ocurrió el ataque contra Project 0
La mecánica del ataque apunta a una de las debilidades más conocidas del ecosistema Web3: la dependencia de servicios web tradicionales para llegar a aplicaciones descentralizadas. Aunque el backend financiero pueda estar distribuido o auditado, el acceso del usuario suele depender de dominios, repositorios de código y servicios de despliegue que todavía pueden ser vulnerados.
Según la divulgación del fundador, el acceso indebido a una cuenta de GitHub de un integrante del equipo permitió modificar la forma en que el sitio se presentaba a los visitantes. Durante aproximadamente 40 minutos, los usuarios que entraron a la web de Project 0 fueron enviados a una página externa vinculada con pérdidas de fondos. Hasta el momento del reporte, se había confirmado al menos un caso por USD $1.000.
Peet afirmó que cualquier otra pérdida verificada también será cubierta. Esa promesa busca contener el daño reputacional y enviar una señal de responsabilidad hacia la comunidad. En protocolos DeFi, donde la confianza del usuario depende tanto de la seguridad técnica como de la capacidad de respuesta del equipo, una compensación rápida puede ser clave para evitar retiros masivos o una caída prolongada de la actividad.
Los datos de DefiLlama citados en la cobertura ubican a Project 0 con casi USD $90.000.000 en valor total bloqueado. El protocolo llegó a superar los USD $110.000.000 desde que comenzó su seguimiento a finales de 2025. Además, el proyecto asegura contar con respaldo de Multicoin, Pantera y Solana Ventures, lo que eleva su perfil dentro del mercado y también su atractivo como posible objetivo para atacantes.
Ese tamaño importa. Los protocolos con liquidez relevante y visibilidad institucional suelen concentrar más intentos de explotación, incluso cuando los equipos mantienen prácticas operativas sólidas. Un dominio comprometido puede ser más rentable para un atacante que un exploit técnico complejo, porque aprovecha la confianza del usuario y reduce las barreras de ejecución.
Un patrón que ya afectó a otros proyectos
El incidente de Project 0 no ocurrió en aislamiento. La cobertura menciona casos similares que impactaron a OpenEden y Bonk.fun, donde atacantes también comprometieron dominios registrados por los proyectos. En esos episodios, el daño no se extendió a los fondos propios de las plataformas ni a las posiciones de los usuarios dentro de los protocolos, pero sí alcanzó a los visitantes durante la ventana de explotación.
Ese detalle es importante para entender la naturaleza de este tipo de amenazas. No siempre se trata de un hackeo al protocolo en sentido estricto. A menudo, el problema está en la capa de acceso y presentación, donde una redirección maliciosa puede engañar a usuarios desprevenidos para firmar transacciones o conectar billeteras en un sitio clonado.
La rapidez de mitigación suele limitar el alcance del ataque, pero no elimina el riesgo. Basta con que unos pocos usuarios entren durante la ventana comprometida para que se registren pérdidas significativas. En entornos de alta velocidad como DeFi, donde una conexión de billetera o una firma puede tardar segundos, un lapso de 40 minutos representa una oportunidad real para actores maliciosos.
Por eso, la combinación de notoriedad, liquidez y tráfico constante convierte a estos proyectos en objetivos atractivos. Mientras más conocida y utilizada sea una plataforma, más probable es que un usuario confíe en su dominio sin revisar señales de alerta adicionales. Esa dinámica explica por qué ataques relativamente breves pueden seguir siendo efectivos.
Ethereum y el auge del envenenamiento de direcciones
La noticia sobre Project 0 se produce en un contexto más amplio de seguridad dentro de Ethereum. Tras la actualización Fusaka, implementada en diciembre de 2025, se esperaba que las transacciones en la red principal fueran mucho más asequibles. Sin embargo, esa mejora de costos también habría favorecido un aumento de ataques de envenenamiento de direcciones, una táctica orientada a manipular el historial de transacciones de las víctimas.
La cuenta oficial de Etherscan en X llamó la atención sobre ese problema en un artículo titulado “Address poisoning attacks are rising on Ethereum”. Allí citó un estudio de 2025 que comparó los intentos de envenenamiento antes y después de Fusaka, y concluyó que estos ataques se han multiplicado desde la actualización de diciembre.
Para lectores menos familiarizados con el concepto, el envenenamiento de direcciones consiste en enviar pequeñas transacciones, muchas veces por debajo de USD $0,01, hacia una billetera objetivo. El propósito no es transferir valor real, sino insertar direcciones similares o controladas por el atacante en el historial visible del usuario. Si luego la víctima copia una dirección reciente por error, puede terminar enviando fondos al destino equivocado.
Las llamadas transferencias de polvo siguieron esa tendencia. El reporte señala que la actividad total en la red principal de Ethereum aumentó cerca de 30% en los 90 días posteriores a Fusaka, mientras la creación de nuevas direcciones avanzó 78%. En ese entorno de mayor tráfico y menores costos, la relación costo-beneficio para los atacantes mejoró de forma evidente.
Las cifras detrás del problema
Uno de los datos más llamativos del reporte es el incremento de 612% en las transferencias de polvo de USDT en los meses posteriores a Fusaka. Esa explosión no implica que todos los envíos sean exitosos ni que cada intento termine en pérdidas, pero sí sugiere que la táctica ganó escala industrial dentro del ecosistema Ethereum.
La mayor pérdida mencionada hasta ahora fue la de USD $50.000.000 en diciembre. Según la narración del caso, la víctima envió primero USD $50 como prueba para confirmar que tenía la dirección correcta. Sin embargo, entre esa verificación inicial y la transferencia definitiva, actores maliciosos alteraron el historial con sus propias transferencias de polvo, lo que habría provocado el envío final a una dirección incorrecta.
Ese episodio muestra la velocidad con la que operan estas campañas. Los atacantes no solo intentan engañar a usuarios al azar, también compiten por envenenar historiales de billeteras con alta probabilidad de mover grandes sumas. La cuenta de Etherscan sostuvo que “solo dos transferencias de stablecoins” realizadas por un usuario de su servicio activaron “más de 89 correos electrónicos de alerta de direcciones vigiladas”.
Aun con una tasa de éxito reducida, el modelo sigue siendo rentable. El reporte señala que apenas cerca de 1 de cada 10.000 intentos logra concretarse. Sin embargo, frente a USD $79.000.000 en pérdidas confirmadas, distribuidas en 17 millones de intentos dirigidos a alrededor de 1,3 millones de usuarios, las matemáticas siguen favoreciendo a quienes ejecutan estas campañas, sobre todo si cada intento cuesta menos de USD $1.
En conjunto, el caso de Project 0 y la expansión del envenenamiento de direcciones reflejan una misma realidad: en cripto, la seguridad ya no depende solo del contrato inteligente o de la custodia privada. También depende de la higiene operativa del usuario, de la protección de servicios periféricos como dominios y repositorios, y de la capacidad de los equipos para responder cuando la infraestructura de acceso es comprometida.
Imagen original de DiarioBitcoin, creada con inteligencia artificial, de uso libre, licenciada bajo Dominio Público.
Este artículo fue escrito por un redactor de contenido de IA y revisado por un editor humano para garantizar calidad y precisión.
ADVERTENCIA: DiarioBitcoin ofrece contenido informativo y educativo sobre diversos temas, incluyendo criptomonedas, IA, tecnología y regulaciones. No brindamos asesoramiento financiero. Las inversiones en criptoactivos son de alto riesgo y pueden no ser adecuadas para todos. Investigue, consulte a un experto y verifique la legislación aplicable antes de invertir. Podría perder todo su capital.
Suscríbete a nuestro boletín
Artículos Relacionados
Ethereum
Vitalik Buterin alerta sobre dobles estándares en la seguridad de la IA
Empresas
Facebook endurece su lucha contra suplantadores y redefine el contenido original
Noticias
Instagram eliminará el cifrado de extremo a extremo en los DMs desde mayo de este año
Criptomonedas