Por Canuto DxSale sufrió un exploit de USD $7,3 millones en BNB Chain que afectó fondos bloqueados de unos 1.400 proveedores de liquidez. Investigadores apuntan a una puerta trasera, cambios de propiedad no divulgados y funciones privilegiadas dentro del contrato.
***
- El ataque drenó USD $7,3 millones en BNB vinculados a contratos de bloqueo de liquidez de DxSale.
- Analistas señalaron una puerta trasera, una transferencia de propiedad y el uso de una función privilegiada llamada setFee.
- El caso se suma a una ola de exploits DeFi que ya acumula USD $52 millones en pérdidas durante mayo.
DxSale, una plataforma conocida por haber sido usada en lanzamientos de tokens y memecoins sobre BNB Chain, sufrió un exploit estimado en USD $7,3 millones. El incidente afectó fondos en BNB que permanecían bloqueados en contratos de liquidez utilizados por cerca de 1.400 proveedores.
El caso generó alarma porque los fondos atacados no estaban en una bóveda reciente ni en un protocolo poco usado. Parte de esa liquidez venía de la intensa actividad de lanzamientos de tokens en BNB Chain durante 2021, cuando DxSale operó como uno de los servicios de bloqueo de liquidez más visibles del ecosistema.
Según reportó crypto.news, investigadores de seguridad vincularon el ataque con una posible puerta trasera oculta en un contrato y con una transferencia de propiedad no divulgada previamente. Esa combinación habría permitido que saldos que debían seguir bloqueados se trataran como fondos retirables.
El episodio llega en un momento delicado para las finanzas descentralizadas. Datos citados por DefiLlama muestran que los protocolos DeFi han perdido cerca de USD $52 millones por exploits en lo que va de mayo, después de registrar alrededor de USD $634 millones en pérdidas durante abril.
Cómo se movieron los fondos drenados
La firma de seguridad blockchain PeckShield identificó una dirección controlada por el atacante, señalada como “0xC457”. Esa dirección movió aproximadamente USD $1,87 millones en BNB hacia dos monederos principales antes de enviar fondos a varias direcciones de depósito asociadas con Binance.
El rastro on-chain no terminó allí. De acuerdo con los analistas que siguieron el caso, parte de los fondos robados pasó por infraestructura que podría complicar su rastreo posterior, lo que reduce la visibilidad pública sobre el destino final de los activos.
El analista blockchain Tahax afirmó que el exploit pudo originarse en un cambio de propiedad del contrato ocurrido meses antes del ataque. En su análisis, el control del contrato habría pasado por más de 80 transacciones adicionales entre monederos antes de llegar a la dirección identificada como “0xC45”.
Esa dirección fue la que luego ejecutó retiros de BNB a gran escala. Tahax también señaló que el monedero del explotador había sido creado recientemente y recibió financiamiento inicial a través del exchange Bybit, un dato relevante para los investigadores que intentan reconstruir la secuencia completa.
La presunta puerta trasera en el contrato
El punto técnico central del caso está en el contrato de bloqueo de liquidez. Estos contratos suelen usarse para impedir que los equipos detrás de un token retiren liquidez de forma temprana, una práctica que ayuda a reducir riesgos para compradores y proveedores de liquidez.
Sin embargo, un bloqueo solo ofrece protección si el contrato no contiene funciones privilegiadas capaces de alterar las reglas internas. La firma de seguridad Web3 Coinsult indicó que el exploit estuvo relacionado con una función llamada “setFee” y con una configuración retroactiva del período de bloqueo.
Según Coinsult, esa combinación permitió ejecutar retiros repetidos. En la práctica, fondos que debían permanecer inmovilizados pasaron a comportarse como saldos disponibles para retiro, lo que abrió la puerta al drenaje de reservas en BNB.
La firma también describió un contrato “drainer” no verificado, identificado como “0xc2efbd94…01e4718”. Ese contrato fue desplegado unas nueve horas antes del análisis por “0xC4574DD…aaFA69”, codificaba de forma fija el locker víctima como un valor inmutable y usaba WBNB para el enrutamiento.
Una herida vieja para BNB Chain
DxSale tuvo un papel importante durante el auge de lanzamientos de tokens en BNB Chain en 2021. En ese periodo, numerosos proyectos usaron servicios de bloqueo de liquidez para demostrar que sus fondos no podían retirarse de inmediato.
El problema es que muchos usuarios confiaron en esos bloqueos como una garantía casi absoluta. El incidente muestra que la confianza en un locker depende de la seguridad del código, de la gestión de permisos y de la transparencia sobre quién controla las funciones administrativas.
Tahax alegó que una puerta trasera quedó en el contrato desplegador, lo que habría creado las condiciones para el exploit. Aunque la investigación on-chain aún sigue el movimiento de fondos, la hipótesis principal gira en torno al control privilegiado y a cambios de propiedad que no fueron visibles para los usuarios comunes.
El daño financiero de USD $7,3 millones golpea a unos 1.400 proveedores de liquidez. Para muchos de ellos, el atractivo del bloqueo estaba en reducir el riesgo de retiro unilateral de fondos, por lo que el caso reabre una discusión incómoda sobre los estándares de auditoría en herramientas DeFi heredadas.
Más ataques elevan la presión sobre DeFi
El exploit de DxSale no ocurrió de forma aislada. Esta misma semana, Stake DAO divulgó un ataque relacionado con su token sdCRV con voto potenciado en Arbitrum, mientras investigadores rastreaban movimientos entre Arbitrum y Ethereum.
La firma Blockaid informó que un atacante acuñó más de 5,4 billones de tokens vsdCRV y empezó a intercambiarlos por ETH. Stake DAO pidió a los usuarios no interactuar con ese activo mientras avanzaba la investigación de las transacciones afectadas.
Cointelegraph también consignó que el exploit de StakeDAO creó 5,4 billones de vsdCRV, pero obtuvo solo USD $91.000. Aunque ese monto es menor que el drenaje atribuido a DxSale, el caso refuerza la idea de que errores en contratos pueden producir emisiones o saldos artificiales de gran escala.
Wasabi Protocol también reportó pérdidas superiores a USD $5 millones. En ese caso, una clave administrativa comprometida permitió a los atacantes actualizar contratos y drenar fondos en Ethereum, Base, Berachain y Blast.
El factor IA y el nuevo riesgo para los contratos inteligentes
La secuencia de incidentes aumentó las advertencias dentro del sector de seguridad Web3. Manuel Aráoz, cofundador de OpenZeppelin, afirmó que los avances en descubrimiento de vulnerabilidades asistido por inteligencia artificial facilitan la ejecución de ataques.
Aráoz sostuvo que ahora considera que “todo DeFi” es inseguro. Su argumento apunta a que los atacantes cuentan con herramientas cada vez más potentes para encontrar fallas de software antes de que los desarrolladores logren identificarlas y corregirlas.
Esa advertencia no significa que todos los protocolos vayan a sufrir un exploit. Pero sí subraya una brecha creciente entre la velocidad de análisis automatizado y los procesos tradicionales de auditoría, revisión de permisos y actualización de contratos.
La cifra acumulada muestra la magnitud del problema. Según DefiLlama, los exploits cripto han provocado más de USD $17.000 millones en pérdidas históricas, incluidos aproximadamente USD $7.800 millones robados solo desde protocolos DeFi.
Qué deja el caso DxSale
El exploit expone tres riesgos que siguen presentes en DeFi. El primero es la existencia de funciones privilegiadas que permiten alterar condiciones críticas, incluso en contratos que los usuarios perciben como simples herramientas de bloqueo.
El segundo riesgo está en la opacidad de los cambios de propiedad. Si el control de un contrato pasa por decenas de transacciones y termina en una dirección nueva, los usuarios promedio difícilmente podrán detectar a tiempo una amenaza operativa.
El tercer riesgo se relaciona con la confianza heredada. Un contrato usado masivamente en 2021 puede seguir reteniendo valor años después, aunque sus controles, auditorías o responsables ya no reciban el mismo nivel de vigilancia pública.
Para los proveedores afectados, el foco inmediato estará en el rastreo de fondos y en las posibles respuestas de las plataformas involucradas. Para el ecosistema, el mensaje es más amplio: los bloqueos de liquidez no eliminan el riesgo si el contrato contiene permisos capaces de reescribir las reglas desde dentro.
ADVERTENCIA: DiarioBitcoin ofrece contenido informativo y educativo sobre diversos temas, incluyendo criptomonedas, IA, tecnología y regulaciones. No brindamos asesoramiento financiero. Las inversiones en criptoactivos son de alto riesgo y pueden no ser adecuadas para todos. Investigue, consulte a un experto y verifique la legislación aplicable antes de invertir. Podría perder todo su capital.
Suscríbete a nuestro boletín
Artículos Relacionados
DeFi
Hyperliquid es “más grande que Nasdaq”, dice CEO de ICE mientras pide reglas claras para perpetuos onchain
DeFi
Desplome de 45% en perp de SpaceX sacude a operadores de Hyperliquid
DeFi
Aave Labs gana aprobación de la FCA y acelera su apuesta cripto en Reino Unido
AltCoins