Por Angel Di Matteo 𝕏 @shadowargelInvestigadores de seguridad revelaron que actores maliciosos están atacando a dYdX mediante paquetes contaminados en npm y PyPI, capaces de robar credenciales y vaciar wallets de desarrolladores y usuarios.
***
- Paquetes comprometidos en JavaScript y Python robaron frases semilla y claves privadas.
- El ataque afectó tanto a entornos de prueba como a sistemas en producción.
- Expertos advierten sobre una tendencia creciente de ataques a la cadena de suministro en DeFi.
🚨 Alerta de seguridad en dYdX 🚨
Investigadores detectaron paquetes maliciosos en npm y PyPI que vacían wallets vinculadas al exchange.
Los atacantes roban frases semilla y claves privadas de desarrolladores y usuarios.
Este tipo de ataque se suma a una creciente tendencia… pic.twitter.com/IaoSQREErO
— Diario฿itcoin (@DiarioBitcoin) February 7, 2026
Investigadores revelaron que actores maliciosos están apuntando a dYdX mediante el uso de paquetes de código abierto infectados, diseñados para vaciar las wallets de sus usuarios. De acuerdo con un informe reciente, varios paquetes publicados en los repositorios npm y PyPI incluían código malicioso capaz de robar credenciales críticas desde entornos de desarrollo y sistemas backend asociados con el exchange.
dYdX es un exchange descentralizado de derivados que permite el trading perpetuo en cientos de mercados. Según el reporte, investigadores de la firma de ciberseguridad Socket señalaron que todas las aplicaciones que utilicen las versiones comprometidas de estos paquetes se encuentran en riesgo. El impacto directo de los ataques incluyó la toma total de wallets y robos de criptomonedas.
El alcance del ataque no se limitó a un solo tipo de usuario. Socket explicó que se vieron afectados tanto desarrolladores que realizaban pruebas con credenciales reales como usuarios finales en entornos de producción. Esto amplió de forma significativa la superficie de ataque y elevó el riesgo sistémico dentro del ecosistema que depende de las librerías oficiales de dYdX.
Paquetes maliciosos comprometen wallets asociadas a dYdX
Según el informe, algunos de los paquetes infectados incluyen versiones específicas del cliente oficial de dYdX en npm, identificadas como @dydxprotocol/v4-client-js en las versiones 3.4.1, 1.22.1, 1.15.2 y 1.0.31. En el repositorio PyPI, el paquete comprometido fue dydx-v4-client en la versión 1.1.5post1.
Socket indicó que dYdX ha procesado más de USD $1,5 billones en volumen de trading desde su lanzamiento dentro de la industria de las finanzas descentralizadas. El volumen promedio diario de la plataforma oscila entre USD $200 millones y USD $540 millones. Además, mantiene aproximadamente USD $175 millones en interés abierto.
El exchange ofrece librerías de código que permiten a terceros crear bots de trading, estrategias automatizadas y servicios backend. Estas herramientas requieren el uso de mnemónicos o claves privadas para firmar transacciones, lo que las convierte en un objetivo altamente sensible. En el caso de npm, el malware insertó una función maliciosa dentro de un paquete legítimo.
Cuando una frase semilla, elemento central para la seguridad de una wallet, era procesada por la librería comprometida, la función copiaba dicha información junto con una huella digital del dispositivo en el que se ejecutaba la aplicación. Esta combinación permitía a los atacantes identificar y correlacionar a las víctimas a través de múltiples compromisos.
Infraestructura de robo y control remoto
La huella digital permitía a los actores maliciosos vincular las credenciales robadas con usuarios específicos. Las frases semilla eran enviadas al dominio dydx[.]priceoracle[.]site, el cual imitaba al dominio legítimo de dYdX, dydx[.]xyz, mediante una técnica conocida como typosquatting.
El código malicioso presente en PyPI iba un paso más allá. Además de robar credenciales, implementaba un troyano de acceso remoto, o RAT, que permitía ejecutar nuevo malware en sistemas ya infectados. Esto otorgaba a los atacantes un control persistente sobre las máquinas comprometidas.
Los investigadores señalaron que la puerta trasera recibía comandos directamente desde dydx[.]priceoracle[.]site. El dominio fue creado y registrado el 9 de enero, 17 días antes de que el paquete malicioso fuera subido a PyPI. Según Socket, el RAT operaba como un daemon en segundo plano.
Este proceso se comunicaba con el servidor de comando y control cada 10 segundos. Durante estas conexiones, recibía código Python desde el servidor y lo ejecutaba en un subproceso aislado, sin generar salida visible para el usuario. El malware también utilizaba un token de autorización codificado de forma rígida en su interior.
Un patrón de ataques cada vez más preocupante
Socket explicó que, una vez instalado, el malware permitía ejecutar código Python arbitrario con los privilegios del usuario afectado. Esto incluía la capacidad de robar claves SSH, credenciales de APIs y código fuente sensible. Además, los atacantes podían instalar puertas traseras persistentes y exfiltrar archivos confidenciales.
Los investigadores añadieron que los atacantes también podían monitorear la actividad del usuario y modificar archivos críticos del sistema. Un elemento particularmente preocupante fue que los paquetes maliciosos fueron publicados en npm y PyPI utilizando cuentas oficiales de dYdX, lo que indica que dichas cuentas fueron comprometidas.
Aunque dYdX aún no ha emitido un comunicado oficial sobre este incidente, no es la primera vez que la plataforma enfrenta ataques de este tipo. En septiembre de 2022, código malicioso fue subido al repositorio npm, afectando a desarrolladores que utilizaban sus librerías.
En 2024, el sitio web de dYdX también fue comprometido cuando la versión V3 fue secuestrada mediante un ataque al sistema DNS. En ese caso, los usuarios eran redirigidos a un sitio malicioso que los inducía a firmar transacciones diseñadas para vaciar sus wallets.
Socket afirmó que este último incidente evidencia un patrón perturbador de adversarios que apuntan a activos relacionados con dYdX mediante canales de distribución confiables. Según la firma, los atacantes comprometieron deliberadamente paquetes en los ecosistemas npm y PyPI para ampliar el alcance del ataque hacia desarrolladores de JavaScript y Python que trabajan con la plataforma.
La firma recomendó que cualquier persona o empresa que utilice herramientas relacionadas con dYdX examine cuidadosamente sus aplicaciones para detectar dependencias de los paquetes maliciosos identificados. El caso refuerza las alertas sobre los riesgos crecientes de los ataques a la cadena de suministro en el ecosistema DeFi.
Artículo escrito por un redactor de contenido de IA. Editado por Angel Di Matteo / DiarioBitcoin
Imagen original de DiarioBitcoin, creada con inteligencia artificial, de uso libre, licenciada bajo Dominio Público
ADVERTENCIA: DiarioBitcoin ofrece contenido informativo y educativo sobre diversos temas, incluyendo criptomonedas, IA, tecnología y regulaciones. No brindamos asesoramiento financiero. Las inversiones en criptoactivos son de alto riesgo y pueden no ser adecuadas para todos. Investigue, consulte a un experto y verifique la legislación aplicable antes de invertir. Podría perder todo su capital.
Suscríbete a nuestro boletín
Artículos Relacionados
Bithumb admite envíos accidentales de BTC a usuarios y caída en el precio de la moneda digital
Gemini cerrará operaciones en Reino Unido, Europa y Australia para centrarse en EEUU
Jeffrey Epstein habría participado como inversor en ronda de financiamiento para Coinbase: informe
