Los proyectos DeFi pierden 6 millones de dólares en una nueva serie de exploits esta semana
Una ráfaga de hackeos a escala relativamente pequeña continúa causando estragos en proyectos criptográficos más pequeños, a pesar de pasar desapercibidos en comparación con las recientes pérdidas gigantescas.
En lo que va del año, el rastreador de hacks de Protos muestra 77 entradas, por un total de más de 1.100 millones de dólares en pérdidas.
Abril fue un mes particularmente difícil; las pérdidas en sus 33 incidentes ascendieron a más de 600 millones de dólares. Sin embargo, sólo dos incidentes, a saber, el protocolo Drift y los ataques al puente rsETH, representaron el 95% de las pérdidas del mes entre ellos.
Si bien May no ha mantenido un ritmo tan devastador, un aumento en la actividad de los piratas informáticos ha provocado el robo de casi 6 millones de dólares de seis proyectos sólo esta semana.
Lunes 11 de mayo: dos trucos (más pequeños)
En la red Polygon, el contrato Workspace Treasury Proxy de Ink Finance fue explotado por 140.000 dólares el lunes.
Según el análisis de la empresa de seguridad criptográfica SlowMist, la causa principal fue la falta de control de acceso en la función PayrollDistribution.
Huma Finance perdió 100.000 dólares el mismo día, también en Polygon. La declaración del equipo insiste en que las pérdidas se debieron a "contratos v1 heredados" (ahora pausados) y que su v2 basado en Solana es una "reescritura completa y este problema no se aplica".
Martes 12 de mayo: cuatro trucos
El martes por la noche, $TAC, una "cadena de bloques diseñada específicamente para que las dApps de EVM accedan a TON", alertó a los usuarios sobre un "incidente de seguridad que afecta al puente $TAC", que había sido pausado.
Informes de terceros estimaron pérdidas en USDT, BLUM y otros tokens por valor de 3 millones de dólares.
Al día siguiente, el auditor de seguridad Peckshield llamó la atención sobre un hackeo a Transit Finance, que también ocurrió el martes, con 1,9 millones de dólares de $DAI en poder del explotador.
#PeckShieldAlert @TransitFinance parece haber sido pirateado por ~ $ 1,88 millones. Los fondos robados se encuentran actualmente en la siguiente dirección en $ DAI: 0x8a634DfA2609358849D7D65FFA270C8A57a8abA5 pic.twitter.com/9RSQkgdfX6
– PeckShieldAlert (@PeckShieldAlert) 13 de mayo de 2026
El equipo emitió un anuncio explicando que las pérdidas se debían a "vulnerabilidades históricas" en un contrato implementado en TRON que había quedado "obsoleto desde 2022".
Dijo que los usuarios “no necesitan tomar ninguna medida” y que los usuarios afectados serán compensados.
El proyecto ya había sido atacado en octubre de 2022 por más de 20 millones de dólares, aunque la mayoría de los fondos fueron devueltos posteriormente. Según Decurity, la pérdida del martes se debió a la misma vulnerabilidad que en 2022, tres años y medio después.
También el martes, los proyectos DeFi Aurellion y BoostHook supuestamente fueron atacados, perdiendo aproximadamente $455,000 y $200,000, respectivamente.
Miércoles 13 de mayo: Un truco, hasta ahora…
Durante la redacción de este artículo, se informó que otro proyecto fue pirateado en la red Arbitrum.
Blockaid señaló la pérdida de 130.000 dólares de FOX Colony, antes de destacar otros 50.000 dólares robados por un imitador. El hilo señala que otros contratos similares están "expuestos".
Este último truco sigue a la noticia de hoy de que Code4rena, una plataforma de concursos de auditoría de larga data, anunció que "cerraría".
La plataforma de recompensas por errores ImmuneFi declaró que se hará cargo de los programas de recompensas de Code4rena en el futuro.