Se descubre un atraco masivo a criptomonedas en la...

Un token relativamente oscuro llamado ATM, implementado en $BNB Smart Chain (BSC), se convirtió en la última víctima de una vulnerabilidad de contrato inteligente. Un atacante drenó aproximadamente $243,500 al explotar una lógica no estándar en la función transferFrom() del token.

Las plataformas de monitoreo de seguridad TenArmor señalaron el incidente el 4 de junio de 2026. Las alertas resaltaron cómo las mecánicas de tokens personalizadas, a menudo agregadas para tarifas, provisión de liquidez o recompensas, pueden crear serias debilidades explotables cuando no están protegidas adecuadamente.

#CertiKInsight

Hemos visto un exploit de ~$243K en token de cajero automático. TransferFrom() incluye lógica para intercambiar el 20 % del monto de transferencia del cajero automático por BSC-USD, de modo que el atacante pueda intercambiar repetidamente más después de la transferencia. https://t.co/mf6uhujZgK

¡Manténgase alerta! pic.twitter.com/hwN1B3Xt0m

- Alerta CertiK (@CertiKAlert) 4 de junio de 2026

Según el análisis de CertiK, el problema central radica en la implementación transferFrom() del contrato de token. En lugar de realizar una transferencia de token estándar, la función activó automáticamente un intercambio del 20% del monto transferido del cajero automático a BSC-USD (o equivalente) a través de un enrutador de intercambio descentralizado.

Este comportamiento oculto permitió al atacante iniciar repetidamente transferencias que extrajeron mucho más valor del que deberían permitir las aprobaciones normales. El hash de transacción principal del ataque es: 0x37b90a…dcfd86

Dirección del contrato: 0x4fd087…d5a205

Las alertas de seguridad de Blockchain detectaron la actividad sospechosa en una etapa temprana. La dirección del atacante, 0x7e7C1f…CdBAFE, se ha asociado con exploits de contratos simbólicos anteriores desde 2025. El ataque no se basó en préstamos rápidos o reentrada, sino que aprovechó los efectos económicos secundarios no deseados de la lógica de transferencia personalizada.

Este último incidente se suma a una preocupante ola de exploits en la cadena $BNB. Apenas unos días antes, TesseraDAO sufrió un gran ataque en el que el explotador acuñó aproximadamente 99 millones de tokens TSR, los descartó y extrajo alrededor de 2,5 millones de dólares en USDT. El token TSR colapsó casi un 99% después del incidente.

La información pública sobre el proyecto ATM sigue siendo muy escasa. No existe un sitio web oficial, un documento técnico ni una hoja de ruta detallada ampliamente disponibles. El proyecto no parece ser un protocolo DeFi importante y los detalles sobre su caso de uso previsto, los antecedentes del equipo o el valor total bloqueado (TVL) antes del exploit no están bien documentados.

Al 5 de junio de 2026, el equipo del proyecto de cajeros automáticos no ha emitido ninguna declaración pública oficial sobre el incidente, si el contrato se suspendió, el estado de liquidez o cualquier esfuerzo de recuperación.

Estas vulnerabilidades no están aisladas. A finales de mayo de 2026, los atacantes explotaron los casilleros de liquidez heredados en DxSale y drenaron aproximadamente $ 7,3 millones de más de 1400 grupos manipulando marcas de tiempo de desbloqueo y retirando tokens LP. Esto muestra cómo incluso la liquidez “bloqueada” más antigua de ciclos anteriores puede seguir en riesgo.

Este incidente sirve como un ejemplo clásico de los peligros asociados con los impuestos personalizados sobre las transferencias o los mecanismos de intercambio automático en contratos tipo ERC-20. Si bien estas características pueden tener fines legítimos, aumentan significativamente la complejidad y la superficie de ataque.

Los expertos en seguridad de blockchain advierten constantemente que combinar transferFrom() con llamadas externas, como a enrutadores DEX, requiere auditorías rigurosas, verificación formal y pruebas exhaustivas de casos extremos.

Verifique siempre minuciosamente los contratos inteligentes antes de interactuar con ellos.

Revoque las aprobaciones de tokens con regularidad, especialmente para tokens desconocidos o de baja capitalización.

Prefiera proyectos con múltiples auditorías independientes y prácticas de seguridad transparentes.

Aunque se trata de un exploit de tamaño medio según los estándares de 2026, este tipo de incidentes siguen erosionando la confianza en el ecosistema DeFi más amplio. Los tokens más pequeños en cadenas como $BNB Smart Chain siguen siendo objetivos frecuentes debido a implementaciones apresuradas y medidas de seguridad insuficientes.

Se recomienda encarecidamente a los usuarios que tengan extrema precaución al tratar con tokens nuevos o de baja visibilidad.