Por Canuto El incidente de Rhea Finance, con pérdidas estimadas en cerca de USD $8 millones, sumó un nuevo capítulo tras la congelación de USDT vinculados al ataque, mientras un análisis técnico atribuye la pérdida a una falla crítica en la validación de operaciones con margen dentro de Burrowland en NEAR.
***
- Tether congeló USDT 3.290.000 vinculados a billeteras asociadas con la explotación de Rhea Finance.
- Una reconstrucción on-chain ubica la causa raíz en la validación de rutas de swap manipuladas dentro de Burrowland, no en Ref como DEX sin permisos.
- La investigación describe un esquema con tokens falsos, pools recién creados, cuentas worker y una gran discrepancia entre el monto validado y el retorno real del swap.
El incidente de Rhea Finance en NEAR sigue desarrollándose en dos frentes al mismo tiempo. Por un lado, Tether congeló 3.290.000 USDT vinculados a billeteras relacionadas con la explotación. Por otro, una amplia reconstrucción técnica del ataque apunta a una falla crítica en la lógica de margin trading de Burrowland, la infraestructura de lending utilizada por Rhea Lend.
Rhea Finance, un centro de liquidez descentralizado (DeFi) y protocolo de préstamos multicadena con base en NEAR Protocol, sufrió el jueves un incidente de seguridad con pérdidas estimadas en USD $7,6 millones, según los investigadores de CertiK.
De acuerdo con el análisis publicado por @defi_nerd_sec, el exploit del 16 de abril de 2026 no se explica simplemente por la existencia de pools falsos en Ref. La pérdida del protocolo ocurrió cuando Burrowland aceptó una ruta de swap controlada por el atacante como si fuera económicamente válida y luego finalizó la posición sin comprobar que el resultado real coincidiera con el mínimo previamente validado.
El CEO de Tether, Paolo Ardoino, confirmó públicamente el bloqueo de USDT vinculados a billeteras asociadas con el caso, según informó Coin Bureau. Esa medida frenó parte del movimiento de fondos y volvió a poner sobre la mesa el papel de las stablecoins centralizadas dentro de ecosistemas DeFi que, en teoría, operan con menor intervención externa.
Qué pasó con Rhea Finance y por qué importa
Para entender el episodio conviene separar al DEX del motor de préstamos. Ref funciona como un exchange sin permisos, por lo que cualquier usuario puede crear pools para pares de tokens arbitrarios. Esa propiedad, por sí sola, no constituye un fallo de seguridad. El problema aparece cuando otro protocolo usa ese entorno abierto como insumo de confianza para tomar decisiones de riesgo.
Eso es justamente lo que habría ocurrido en la ruta de margen de Burrowland. Según la reconstrucción, el atacante desplegó varios contratos falsos de tokens fungibles, todos creados con segundos de diferencia el 16 de abril de 2026 y con el mismo hash de código. Además, consultas directas a ft_metadata fallaban con la misma cadena de panic, lo que refuerza la idea de una infraestructura montada específicamente para el ataque.
Luego se creó un clúster compacto de pools en Ref, dentro del rango 8514 a 8538, alrededor de esos activos falsos y de tokens canónicos como USDC y ZEC. Algunos de esos pools mostraban cantidades casi nulas de USDC, como 4 micro-unidades o incluso 1 micro-unidad, junto con enormes cantidades de los tokens fraudulentos. Esa estructura no era decorativa. Era el sustrato que permitía construir una ruta de swap manipulada.
El flujo general descrito en las trazas públicas fue repetitivo y coordinado. Varias cuentas worker ejecutaron una secuencia casi idéntica: crear pools, sembrar liquidez, pedir fondos a una cuenta master, depositar colateral real en Burrowland, abrir una posición con margen usando la ruta manipulada, retirar, remover liquidez, extraer activos de Ref, reenviar fondos al master y finalmente cerrar o vaciar las cuentas efímeras.
La falla técnica señalada en Burrowland
El núcleo del problema estaría en la validación de OpenPosition para rutas estilo Ref V1. Burrowland podía sumar valores de min_amount_out a través de hops intermedios repetidos que compartían el mismo token de salida. En términos prácticos, eso permitía que una ruta diseñada por el atacante inflara artificialmente el valor tratado como mínimo aceptable para la operación.
Ese mínimo inflado era usado después en verificaciones previas a la apertura de la posición, incluidas comprobaciones apoyadas en datos de oráculo o en la ruta Pyth. El error, según la investigación, es que el protocolo validaba una expectativa económica exagerada, pero no exigía que esa misma cantidad se cumpliera al finalizar el swap real.
La discrepancia más contundente aparece en una traza representativa del exploit. Burrowland habría validado un min_token_p_amount de 32595520035000000000000, mientras que el USDC final realmente devuelto por la ruta fue apenas de 7925 unidades mínimas. La diferencia, según el análisis, supera 4,1 millones de veces. Esa brecha no encaja con deslizamiento normal, ni con ruido de mercado, ni con efectos menores de redondeo.
El mismo reporte sostiene que, cuando Ref devuelve la salida real, Burrowland simplemente acredita la cantidad recibida mediante on_open_trade_return(). No existiría una revalidación posterior a la operación que compare el retorno final con el mínimo previamente aprobado. Tampoco habría una segunda comprobación de salud, liquidación o apalancamiento tras conocer el resultado efectivo del swap.
Por eso la conclusión más sólida del análisis es que la falla decisiva no estuvo en el DEX, sino en el sistema de margen de Rhea Lend. Ref ejecutó la ruta proporcionada por el usuario dentro de una arquitectura sin permisos. Burrowland fue el componente que interpretó esa ruta, sobrestimó su salida mínima y terminó aceptando una posición abierta con un retorno real diminuto.
Cómo se ejecutó el ataque en cadena
La reconstrucción on-chain menciona varias cuentas worker específicas, entre ellas d4e8e706f5a59610d85924af858f0562031930d14eb7add9a433edea50cf0b03, d39fd6da5eda882fe5f6716212552356cde2613054c670ffd6b49b3b25aef473, 839810a1aef8ed1adb03e795b2a9785d783d4e2f415ab80c8b6fb30483e160f2, 9053223460198e5e1e54dc15c18295ff0e98dca41ecd6c3872da1ff634d99616 y 5a7695e3626aeae7c0d340b6e58f813c71455d1be490eeb44e90bd9682343040.
En el caso del primer worker citado, la secuencia observada incluye transacciones para setup_pools, seed_pools, solicitud de fondos desde la cuenta master, depósito de colateral en Burrow, apertura de posición con margin_execute_with_pyth, retiro posterior, múltiples remove_liquidity en pools concretos y transferencias de regreso al coordinador. La coreografía sugiere una ejecución automatizada, no decisiones improvisadas de trading.
La cuenta master identificada en el flujo fue 72633832db9d039b97906320169a8411bc2fa0f78303a4ecb1d35de71af621c5. Desde ahí, los activos se reenviaron a la cuenta collector 31ac7a2705a0686ff427b1a52d3ffd1fcfaa4b1f3cb3e83a0f767494e724a540. Entre las transferencias reportadas figuran NEAR 1.700.000, USDC 460.455,968844, USDt 446.582,585323, wNEAR 799.903,6954752035 y ZEC 7.095,08547447.
Con precios de mercado aproximados de ese momento, esa cesta coincide de forma amplia con la estimación pública de pérdidas cercana a USD $7.600.000. El mismo análisis añade que, más tarde ese día, la cuenta collector transfirió NEAR 1.564.704,2365416313 a contract.main.burrow.near, tras acuñar antes wNEAR 1.564.700,999. Esa operación luce compatible con una devolución de fondos hacia Burrow, aunque no prueba por sí sola un repago formal de deuda a nivel de protocolo.
La congelación de Tether y el debate sobre centralización
Mientras avanzaba la trazabilidad del caso, Tether ejecutó el bloqueo de USDT 3.290.000 vinculados a billeteras asociadas con el exploit. La acción fue presentada públicamente como una medida de cumplimiento y de protección a usuarios, y muestra hasta qué punto los emisores de stablecoins pueden intervenir incluso cuando los fondos circulan dentro de un entorno DeFi.
Ese punto suele generar fricción dentro del ecosistema. Muchos usuarios asocian descentralización con imposibilidad de censura o de congelación. Sin embargo, stablecoins como USDT operan bajo una lógica distinta a la de activos plenamente descentralizados. Los emisores conservan facultades administrativas sobre sus contratos, y eso les permite inmovilizar saldos cuando detectan direcciones sospechosas o reciben solicitudes de cumplimiento.
La lectura más favorable es que esta capacidad sirve como barrera final para contener daños, recuperar parte de los fondos y desincentivar ciertos esquemas de lavado. La lectura más crítica es que recuerda que una porción importante de la liquidez cripto sigue dependiendo de entidades centralizadas con poder de intervención. Ambas cosas pueden ser ciertas al mismo tiempo.
En este caso, la congelación no responde la causa raíz del incidente, pero sí condiciona el siguiente capítulo. También alimenta un debate regulatorio más amplio sobre stablecoins, transparencia y responsabilidad de los emisores. Incidentes de este tipo suelen reforzar la presión para exigir procesos más rápidos de reporte, cooperación y rastreo entre protocolos, empresas y analistas on-chain.
Qué deja este caso para el ecosistema DeFi
El episodio de Rhea Finance deja una lección importante para desarrolladores e integradores. Un mercado sin permisos puede alojar activos creados por atacantes, pools efímeros y rutas diseñadas para parecer válidas. La seguridad no depende de que ese entorno sea curado de antemano, sino de que el protocolo que consume esos datos valide correctamente el resultado económico final.
También refuerza la idea de que las comprobaciones previas a la operación no bastan si no existe una verificación posterior basada en la cantidad realmente recibida. En estrategias de margen, la distancia entre una validación teórica y una liquidación efectiva puede ser el espacio exacto donde nace un exploit. Ese es el riesgo que, según la reconstrucción, Burrowland no logró cerrar.
Por ahora, la evidencia pública permite sostener con alto grado de confianza que los pools falsos fueron esenciales, pero no como causa autónoma del hack. Su función fue facilitar una ruta con hops intermedios repetidos de USDC, inflar el mínimo aceptado por la lógica de margen y luego servir de salida para recuperar activos reales después de abrir la mala posición.
La investigación todavía deja preguntas operativas abiertas, entre ellas la configuración exacta del entorno de producción, posibles debilidades secundarias y el balance final entre ganancias del atacante, fondos inmovilizados y activos eventualmente devueltos. Aun así, la conclusión central parece cada vez más definida: la pérdida del protocolo se produjo cuando una validación defectuosa de margen aceptó una realidad que la operación nunca entregó.
Imagen original de DiarioBitcoin, creada con inteligencia artificial, de uso libre, licenciada bajo Dominio Público
Este artículo fue escrito por un redactor de contenido de IA
ADVERTENCIA: DiarioBitcoin ofrece contenido informativo y educativo sobre diversos temas, incluyendo criptomonedas, IA, tecnología y regulaciones. No brindamos asesoramiento financiero. Las inversiones en criptoactivos son de alto riesgo y pueden no ser adecuadas para todos. Investigue, consulte a un experto y verifique la legislación aplicable antes de invertir. Podría perder todo su capital.
Suscríbete a nuestro boletín
Artículos Relacionados
Empresas
Tether llevará el ajuste fino LoRA a dispositivos con actualización de QVAC SDK
Empresas
Anthropic, OpenAI y Google aceleran la carrera por la IA mientras Washington abre la puerta federal
Cadena de Suministros
Loop recauda USD $95 millones para impulsar IA que anticipa crisis en cadenas de suministro
Estados Unidos