Una explotación de 26 millones de dólares del protocolo de computación fuera de la cadena Truebit se originó en un fallo en un contrato inteligente que permitió a un atacante acuñar tokens a un costo casi nulo, destacando los riesgos de seguridad persistentes incluso en proyectos de la blockchain de larga data.
Truebit sufrió una explotación de 26 millones de dólares que resultó en una caída del 99% para TRU, informó Cointelegraph el viernes.
El atacante aprovechó una laguna en la lógica del contrato inteligente del protocolo, lo que le permitió acuñar "cantidades masivas de tokens sin pagar ningún ETH", según la empresa de seguridad de la blockchain, SlowMist, que publicó un análisis post-mortem el martes.
“Debido a la falta de protección contra desbordamiento en una operación de adición de enteros, el contrato Purchase del Protocolo Truebit produjo un resultado incorrecto al calcular la cantidad de ETH necesaria para acuñar tokens TRU”, dijo SlowMist.
Los cálculos de precios del contrato inteligente se "redujeron erróneamente a cero", lo que permitió al atacante agotar las reservas del contrato acuñando tokens por valor de 26 millones de dólares "a un costo casi nulo", según el análisis post-mortem.
Dado que el contrato fue compilado con Solidity 0.6.10, la versión anterior no incluía comprobaciones de desbordamiento integradas, lo que provocó que los cálculos que excedían el valor máximo de “uint256” resultaran en un “desbordamiento silencioso”, haciendo que el resultado “volviera a un valor pequeño cerca de cero”.
La explotación demuestra que incluso los protocolos más establecidos están amenazados por hackers. Truebit fue lanzado en la mainnet de Ethereum hace casi cinco años, en abril de 2021.
La seguridad de los contratos inteligentes atrajo interés a finales del año pasado, cuando un estudio de Anthropic reveló que agentes de inteligencia artificial (IA) disponibles comercialmente habían encontrado 4,6 millones de dólares en explotaciones de contratos inteligentes.
Claude Opus 4.5 de Anthropic, Claude Sonnet 4.5 y GPT-5 de OpenAI desarrollaron colectivamente explotaciones por valor de 4,6 millones de dólares cuando se probaron en contratos inteligentes, según un informe de investigación publicado por el equipo rojo de la empresa de IA, dedicada a descubrir vulnerabilidades de código antes de que los actores maliciosos puedan encontrarlas.
Errores en contratos inteligentes, el mayor vector de ataque de 2025
Las vulnerabilidades de contratos inteligentes fueron el mayor vector de ataque para la industria de las criptomonedas en 2025, con 56 incidentes de ciberseguridad, mientras que los compromisos de cuentas ocuparon el segundo lugar con 50 incidentes, según el informe de fin de año de SlowMist.
Las vulnerabilidades de los contratos representaron el 30,5% de todas las explotaciones de criptoactivos en 2025, mientras que las cuentas X hackeadas representaron el 24% y las filtraciones de claves privadas el 8,5%, en tercer lugar.
Mientras tanto, otros hackers están cambiando de estrategia, pasando de los hackeos de protocolos a la explotación de eslabones débiles en el comportamiento humano on-chain.
Las estafas de phishing de criptomonedas surgieron como la segunda mayor amenaza de 2025, costando a los inversores de criptoactivos un total de 722 millones de dólares en 248 incidentes, según la plataforma de seguridad de la blockchain, CertiK.
Los ataques de phishing de criptomonedas son esquemas de ingeniería social que no requieren hackear código. En su lugar, los atacantes comparten enlaces fraudulentos para robar información sensible de las víctimas, como las claves privadas de las carteras de criptomonedas.
Aun así, los inversores son cada vez más conscientes de esta amenaza, ya que los 722 millones de dólares fueron un 38% menos que los 1.000 millones de dólares robados a través de estafas de phishing en 2024.
Aclaración: La información y/u opiniones emitidas en este artículo no representan necesariamente los puntos de vista o la línea editorial de Cointelegraph. La información aquí expuesta no debe ser tomada como consejo financiero o recomendación de inversión. Toda inversión y movimiento comercial implican riesgos y es responsabilidad de cada persona hacer su debida investigación antes de tomar una decisión de inversión.
