Un ataque dirigido a un contrato inteligente desplegado hace cinco años drenó 8,535 ETH del protocolo Truebit, enviando el valor de su token a prácticamente cero y reavivando la alarma sobre la seguridad en DeFi.
El ecosistema de finanzas descentralizadas (DeFi) recibe un duro recordatorio de sus vulnerabilidades con el inicio de 2026. El protocolo de computación Truebit, construido sobre Ethereum, ha sido víctima de una explotación de seguridad que resultó en la pérdida de aproximadamente 8,535 ETH, valorados en $26.6 millones de dólares. El incidente, detectado el 7 de enero, aprovechó una vulnerabilidad en un contrato inteligente desplegado hace años, lo que provocó que el precio del token nativo del protocolo, TRU, colapsara en un 99.9%, pasando de unos $0.16 a una fracción de centavo.
El mecanismo del ataque: un error de lógica económica antiguo
Según investigadores independientes, la raíz del exploit se encuentra en un contrato inteligente denominado «Purchase» (Compra) que el equipo de Truebit desplegó hace aproximadamente cinco años. La vulnerabilidad residía en una función de acuñación de tokens con un precio incorrectamente configurado. Este fallo de lógica permitió a uno o más atacantes acuñar (crear) grandes cantidades del token TRU del protocolo a un coste insignificante o nulo.
Posteriormente, los atacantes canjearon estos tokens TRU recién acuñados por las reservas de Ethereum (ETH) que el protocolo mantenía en el contrato. Más tarde, el investigador Weilin Li detalló que al menos dos direcciones distintas aprovecharon el fallo, con una obteniendo una ganancia de unos $26 millones y otra de alrededor de $250,000. «Los contratos antiguos se están volviendo más ‘populares’ entre los atacantes ahora«, señaló Li, subrayando un riesgo creciente en el ecosistema.
Impacto inmediato en Truebit: colapso total del token y respuesta del equipo
La consecuencia más visible y devastadora fue para los titulares del token TRU. Su valor se evaporó prácticamente de la noche a la mañana, registrando una caída del 99.9% en las principales plataformas de seguimiento de precios. Mientras tanto, el precio de Ethereum, la criptomoneda subyacente robada, se ha mantenido relativamente estable en torno a los $3,100 en las últimas 24 horas, mostrando que el impacto se concentró en el protocolo afectado y no en el mercado general.
El equipo de Truebit confirmó el incidente a través de sus canales oficiales, indicando que estaban al tanto de «la actividad maliciosa» y que habían conminado a los usuarios a no interactuar con el contrato comprometido. Además, anunciaron que están colaborando con las fuerzas del orden para investigar el ataque y que proporcionarían actualizaciones en el futuro. Plataformas de seguridad como Cyvers fueron las primeras en alertar sobre las transacciones sospechosas, destacando patrones de actividad totalmente inconsistentes con el funcionamiento normal del protocolo.
Una lección repetida: la seguridad de los contratos antiguos en el punto de mira
Este ataque se suma a una preocupante lista de exploits en DeFi durante los últimos meses y subraya un desafío particular: la seguridad del código desplegado hace años. Los protocolos evolucionan, pero los contratos inteligentes antiguos a menudo permanecen en la cadena de bloques, interactuables y potencialmente vulnerables si no se han desactivado o actualizado correctamente.
El caso de Truebit resuena con incidentes recientes como el de Balancer en noviembre, que también involucró un error en un contrato antiguo. Expertos, incluyendo firmas de investigación en inteligencia artificial como Anthropic, ya habían advertido que actores malintencionados están utilizando tecnología avanzada para identificar vulnerabilidades complejas y obsoletas en el código. Este incidente sirve como un llamado de atención urgente para que los proyectos realicen auditorías de seguridad continuas y «retiren» de manera segura los contratos que ya no están en uso activo, pero que pueden contener fallos explotables.
Más información y fuentes
Para comprender mejor algunos de los conceptos mencionados en este artículo, puedes consultar las siguientes fuentes de autoridad:
- Wikipedia: Contrato Inteligente (Smart Contract)
- Sitio web oficial de Ethereum
- Wikipedia: Finanzas Descentralizadas (DeFi)
