Por Canuto  

Cascade confirmó que un exploit drenó aproximadamente USD $1,3 millones en USDC de su vault CLS, después de meses de advertencias sobre la inactividad del proyecto, sus vínculos con Perennial y la caída de la liquidez.

***

  • Cascade informó que su vault de Estrategia de Liquidez, conocido como CLS, perdió alrededor de USD $1,3 millones en USDC.
  • Analistas en cadena habían advertido a los depositantes sobre la inactividad del protocolo, el historial del equipo y la disminución de la liquidez.
  • El atacante movió los fondos entre Arbitrum, Solana y Ethereum mediante Relay Protocol, y convirtió parte de los USDC en DAI.

 


Cascade, una plataforma de contratos perpetuos respaldada por Polychain, confirmó que su bóveda principal perdió aproximadamente USD $1,3 millones en USDC. El incidente afectó al vault de la Estrategia de Liquidez de Cascade, identificado como CLS.

La empresa comunicó el ataque a sus usuarios mediante Discord. También informó que pausó todas las operaciones y los retiros mientras investiga el alcance del incidente.

El drenaje de la bóveda CLS

Cascade describió el hecho como un exploit de seguridad que afectó directamente al bóveda o vault CLS. Según el mensaje compartido por el equipo, la pérdida aproximada ascendió a USD $1,3 millones en fondos pertenecientes a los usuarios.

La firma de seguridad blockchain PeckShieldAlert identificó los fondos robados como depósitos alojados en el vault de la Estrategia de Liquidez de Cascade. Ese producto concentraba capital destinado a una campaña de acceso limitado.

Los depósitos correspondían a la campaña Primera Ola, que Cascade organizó únicamente mediante invitación. La estructura contemplaba que los fondos permanecieran preasignados hasta el lanzamiento público de la plataforma.

Por esa condición, los participantes no contaban con una vía para retirar sus activos antes del ataque. El bloqueo eliminó la posibilidad de reaccionar a las señales de riesgo que aparecieron durante las semanas anteriores.

Cascade aseguró que detectó el problema y detuvo las operaciones de inmediato. La compañía añadió que contrató a SEAL 911 y a otros equipos externos de seguridad para proteger la plataforma.

El equipo prometió compartir nuevas actualizaciones conforme obtenga más detalles sobre la vulnerabilidad. Hasta la información disponible, la empresa no había explicado públicamente el mecanismo técnico exacto que permitió drenar el vault.

Advertencias antes del ataque

La confirmación del exploit llegó después de varios meses de advertencias de analistas en cadena. Esos observadores recomendaron a los depositantes retirar sus fondos ante señales que consideraban preocupantes.

El analista Morsy, conocido por la cuenta @morsyxbt, había calificado previamente a Cascade como un “proyecto fraudulento” en una investigación. También afirmó que volvió a publicar esa advertencia pocos días antes del ataque.

Morsy sostuvo que recomendó retirar los fondos luego de observar casi dos meses de inactividad. Tras la confirmación del incidente, señaló que el equipo reapareció repentinamente en Discord para informar sobre el hackeo de USD $1,3 millones.

Otro analista, identificado como @mztacat, aconsejó el 6 de julio tener cuidado con Cascade. Su recomendación se dirigió a las personas que todavía tenían fondos en el protocolo.

La cuenta también mencionó rumores sobre una posible salida del equipo. Además, señaló que Cascade no había publicado actualizaciones durante más de un mes y que sus administradores tampoco mostraban actividad.

El 16 de julio, @mztacat recordó que había advertido dos veces sobre Cascade y otros protocolos. Según su explicación, esas alertas surgieron después de detectar vínculos entre sus equipos y Perennial, además de movimientos que consideró sospechosos.

El vínculo con Perennial y la caída de liquidez

Perennial fue un protocolo de derivados DeFi que recaudó USD $12,6 millones en diciembre de 2022. La ronda contó con el respaldo de Polychain, Variant, Archetype y Coinbase.

La referencia a Perennial se convirtió en uno de los elementos centrales de las advertencias. Los analistas pidieron precaución porque consideraban relevante el historial de los equipos relacionados con ambos proyectos.

La situación del vault también mostró un deterioro visible en su liquidez. Un trader identificado como @0xGwoni dijo que había recomendado retirar los fondos aproximadamente diez días antes del ataque.

De acuerdo con ese trader, la liquidez del vault cayó más de 95% desde su advertencia. Una reducción de ese tamaño puede limitar la capacidad de los usuarios para salir, especialmente cuando existen restricciones de retiro.

El caso combina dos riesgos frecuentes en productos DeFi. Por un lado, una vulnerabilidad puede permitir el robo directo de activos; por otro, una liquidez insuficiente puede dificultar que los participantes abandonen el protocolo a tiempo.

La falta de comunicación agravó esas preocupaciones. El silencio del equipo durante casi dos meses dejó a los depositantes con poca información sobre el desarrollo del producto, sus controles de seguridad y la evolución del capital bloqueado.

La ruta de los fondos robados

PeckShieldAlert rastreó una ruta de movimiento diseñada para dificultar un posible congelamiento de los activos. El atacante trasladó aproximadamente USD $1,34 millones en USDC a través de Arbitrum.

Después, los fondos pasaron a Solana antes de regresar a Ethereum. El atacante utilizó Relay Protocol para facilitar ese movimiento entre redes.

Durante el proceso, parte de los USDC se convirtió en DAI. El cambio de activo añadió otra capa a la trayectoria del dinero y complicó el seguimiento directo de los fondos sustraídos.

Los movimientos entre cadenas son habituales en investigaciones sobre robos de criptomonedas. Los atacantes pueden aprovechar puentes, protocolos de retransmisión y conversiones entre stablecoins para dispersar rápidamente los activos.

En este caso, la ruta incluyó tres ecosistemas blockchain antes de regresar a Ethereum. La secuencia muestra cómo un atacante puede mover fondos con rapidez después de explotar un producto que concentra liquidez.

La trazabilidad pública de las cadenas permite seguir las transacciones, aunque identificar al responsable y recuperar los activos exige acciones adicionales. Cascade dijo que trabaja con equipos de seguridad externos mientras continúa la investigación.

Un proyecto respaldado por capital de riesgo

Cascade cerró una ronda semilla de USD $15 millones en diciembre de 2025. Polychain y Variant lideraron la financiación del proyecto.

La empresa se presentó como un “neo-brokerage” para operar contratos perpetuos durante las 24 horas. Su propuesta incluía criptomonedas, materias primas y acciones tokenizadas de empresas privadas antes de una posible oferta pública.

Entre los nombres mencionados en su estrategia comercial aparecían OpenAI, SpaceX y Stripe. La plataforma tenía previsto lanzar su mainnet durante el primer trimestre de 2026.

El 21 de enero, Cascade abrió una ventana adicional de USD $5 millones para una nueva etapa de preasignación. Ese evento amplió la exposición de los usuarios a un producto cuyos fondos permanecían bloqueados hasta el lanzamiento público.

Después de esa actividad, el equipo dejó de comunicarse durante casi dos meses. Varios analistas observaron el silencio antes de que la empresa reapareciera para confirmar el drenaje del vault.

El respaldo de firmas conocidas no elimina los riesgos técnicos de una aplicación DeFi. La seguridad depende de los contratos, los controles operativos, la supervisión continua y la capacidad de responder ante señales tempranas.

El contexto de nuevos ataques DeFi

El incidente de Cascade ocurrió un día después de que Ostium, otra plataforma de contratos perpetuos en Arbitrum, detuviera sus operaciones. Esa plataforma sufrió un ataque basado en oráculos que drenó aproximadamente USD $18 millones.

Los oráculos proporcionan datos externos, como precios, a los contratos inteligentes. Si un atacante manipula esos datos o explota una falla en su integración, puede alterar las condiciones de liquidación o retirar fondos de manera ilegítima.

El episodio de Cascade se sumó a una creciente lista de exploits contra vaults DeFi durante julio. Entre los incidentes citados se encuentra Lazy Summer Protocol, que perdió aproximadamente USD $6,04 millones el 6 de julio.

Días después, Bonzo Finance, en Hedera, registró pérdidas por USD $9 millones. Estos casos reflejan la variedad de redes y protocolos afectados por problemas de seguridad dentro del ecosistema de finanzas descentralizadas.

Los vaults suelen atraer capital porque prometen estrategias automatizadas de rendimiento o provisión de liquidez. Sin embargo, los usuarios deben considerar el riesgo del contrato, las condiciones de retiro, la concentración de activos y la transparencia del equipo.

En Cascade, las advertencias públicas y la caída de liquidez antecedieron al ataque. La combinación plantea preguntas sobre la gestión del riesgo, aunque la causa técnica definitiva todavía depende de la investigación en curso.

Qué ocurre ahora con los usuarios

Cascade informó que pausó las operaciones y los retiros después de detectar el exploit. La medida busca limitar movimientos adicionales mientras la empresa y sus asesores revisan la plataforma.

La pausa también impide que los usuarios comprueben de inmediato la disponibilidad de sus depósitos. En el caso de la campaña Primera Ola, los fondos ya permanecían bloqueados por las condiciones de la preventa.

La empresa afirmó que contrató a SEAL 911 y a otros equipos de seguridad de terceros. Su objetivo declarado es asegurar la plataforma y esclarecer cómo ocurrió el drenaje.

El equipo no anunció en la información disponible un calendario para reabrir los retiros. Tampoco presentó un plan definitivo de compensación para los usuarios afectados.

La diferencia entre los USD $1,3 millones comunicados por Cascade y los aproximadamente USD $1,34 millones rastreados por PeckShieldAlert puede reflejar una estimación distinta del monto involucrado. Ambas cifras describen el mismo incidente y mantienen una escala cercana.

Mientras avanza la investigación, los depositantes enfrentan incertidumbre sobre la recuperación de sus activos. El caso vuelve a mostrar la importancia de revisar las restricciones de liquidez y la actividad pública de un protocolo antes de depositar fondos.

Para los observadores del mercado, el ataque también subraya que una ronda de financiación significativa no equivale a una garantía de seguridad. La respuesta posterior de Cascade y los hallazgos de los investigadores serán claves para determinar las responsabilidades y las posibles soluciones.


Imagen original de DiarioBitcoin, creada con inteligencia artificial, de uso libre, licenciada bajo Dominio Público.

Este artículo fue escrito por un redactor de contenido de IA.

 


ADVERTENCIA: DiarioBitcoin ofrece contenido informativo y educativo sobre diversos temas, incluyendo criptomonedas, IA, tecnología y regulaciones. No brindamos asesoramiento financiero. Las inversiones en criptoactivos son de alto riesgo y pueden no ser adecuadas para todos. Investigue, consulte a un experto y verifique la legislación aplicable antes de invertir. Podría perder todo su capital.

Suscríbete a nuestro boletín