Back to Blog

Revisión Mensual de Seguridad: Abril 2024

May 1, 2024
5 min read

Seguridad de un Vistazo 👀

En abril de 2024, los incidentes de seguridad relacionados con la explotación de vulnerabilidades en DeFi resultaron en una pérdida total de ~$5 millones. La mayoría de los incidentes de seguridad fueron causados por "Entrada de Usuario No Verificada" y "Problemas de Control de Acceso", con incidentes significativos que involucraron a Hedgey Finance y SaitaChain.

Consejo para Desarrolladores: Verifique cuidadosamente el control de acceso de las funciones críticas y el contenido de las entradas de usuario, especialmente en protocolos con calldata flexible. Haga clic aquí para revisar incidentes relacionados anteriores.

  • Incidente de Hedgey Finance

El 19 de abril, @hedgeyfinance en Ethereum fue explotado, resultando en una pérdida de más de $1.8M. La causa raíz es la Entrada de Usuario No Verificada. Es importante señalar que aunque el equipo del proyecto y una empresa de seguridad reportaron pérdidas de $40M, las ganancias reales para el atacante fueron limitadas debido a la falta de liquidez del token. En última instancia, el atacante puede haber cobrado solo unos pocos cientos de dólares, por lo que no confiamos en estas estadísticas. Haga clic aquí para ver la causa raíz.

  • Incidente de SaitaChain

El 24 de abril, el Xbridge de SaitaChain fue atacado, perdiendo aproximadamente $1M debido a un Problema de Control de Acceso. El atacante pudo transferir todos los tokens listando un token por solo 0.15 Ether. Detectamos el ataque de inmediato y notificamos al equipo del proyecto.

  • Contrato Desconocido (0x80a0)

El 15 de abril, el contrato desconocido (0x80a0) en BSC fue atacado, resultando en una pérdida de ~$600 K. La causa raíz fue la Entrada de Usuario No Verificada. Ver la alerta.

  • Incidente de Pike Finance

El 26 de abril, Pike Finance perdió aproximadamente $300K en las cadenas Ethereum, Arbitrum y Optimism. La causa raíz es la Entrada de Usuario No Verificada, provocada por un mensaje CCTP falsificado para drenar USDC. Detectamos el incidente de inmediato, pero como el contrato no era de código abierto, tuvimos que esperar a que el equipo del proyecto confirmara y tomara medidas antes de revelar una transacción de ataque.

  • El Primer Caso de Explotación de Contratos Inteligentes en los Estados Unidos

En el primer caso de los Estados Unidos que involucra la explotación de contratos inteligentes, el acusado fue declarado culpable de apropiación indebida de activos que superan los $12M y fue condenado a 3 años de prisión con la confiscación de las ganancias.

La explotación involucró a CremaFinance y NIRVANA FINANCE. Más de $8.8M fueron apropiados indebidamente solo de CremaFinance. Tras las negociaciones, CremaFinance acordó pagar $1.5M (45,455 SOL) como recompensa de sombrero blanco. Aquí está el análisis del flujo de fondos del Incidente de CremaFinance que realizamos usando MetaSleuth.

El análisis del flujo de fondos del Incidente de CremaFinance en MetaSleuth
El análisis del flujo de fondos del Incidente de CremaFinance en MetaSleuth

👉 Para obtener más información sobre transacciones de ataque, causas raíz y PoCs de varios incidentes de seguridad, visite nuestra Lista de Incidentes de Seguridad.

Artículos del Blog

Este blog presenta la idea básica de EigenLayer e ilustra las nuevas amenazas de seguridad en el ecosistema de restaking.

En este blog, mostraremos cómo usar MetaSleuth para rastrear el dinero "inteligente" en el token meme $TIM en Solana, que fue criticado como el iniciado del proyecto que ganó millones de USD comprando tokens $TIM.

El blog expone la estafa de phishing "Inferno Drainer" que causa pérdidas sustanciales y aconseja a los usuarios que realicen transacciones con cautela para evitar dichos fraudes.

En este blog, mostraremos un nuevo tipo de phishing en Web3 y proporcionaremos sugerencias sobre cómo evitar ser víctima de phishing.

El blog ofrece una descripción general de los incidentes de hackeo relacionados con drainers dirigidos a usuarios de Web3, destacando los métodos empleados por los hackers y con el objetivo de aumentar la conciencia y protección de los usuarios contra estas tácticas.

Actualizaciones de Productos

  • 🥳 ¡Gran Actualización de Phalcon!

Los protocolos y LPs ahora pueden monitorear variables clave, incluyendo structs anidados, mappings y arrays, especialmente aquellos que involucran estructuras de datos complejas. Los usuarios pueden seleccionar variables y configurar expresiones de monitoreo en 10 segundos, ¡sin necesidad de programar! Leer más

Esta actualización permite a los desarrolladores, investigadores de seguridad y LPs comprender y monitorear mejor las transacciones y los estados del protocolo, identificando rápidamente amenazas de seguridad o errores de configuración para mantener la estabilidad del protocolo y asegurar los fondos.

Ahora admite el modo de pantalla completa (atajo Shift+F), lo que permite a los desarrolladores e investigadores de seguridad usarlo de manera más inmersiva y centrarse en el análisis. ¡Pruébalo!

Asociaciones

  • Merlin ✖️ BlockSec

¡BlockSec Phalcon ahora es totalmente compatible con Merlin, el principal L2 de BTC! 🎉 Después de ETH, BSC y Arbitrum, ¡Merlin es la cuarta cadena compatible con Phalcon!

🛡️ BlockSec Phalcon monitorea activamente las actividades en la cadena de Merlin Chain las 24 horas del día, los 7 días de la semana, y proporciona alertas oportunas a Merlin Chain. A partir de ahora, los equipos de protocolo e inversores en Merlin Chain también pueden suscribirse a Phalcon para obtener capacidades de monitoreo y bloqueo de hackeos de criptomonedas.

🚀 Phalcon Explorer ¡también es compatible con Merlin! Explore fácilmente trazas de transacciones, cambios de saldo y flujos de fondos. Para algunos contratos principales sin código fuente en The Merlin Blockchain Explorer, ofrece acceso a contratos verificados.

  • Forta ✖️ BlockSec

Acerca de BlockSec

BlockSec es una empresa pionera en seguridad blockchain establecida en 2021 por un grupo de expertos en seguridad de renombre mundial. La empresa está comprometida a mejorar la seguridad y la usabilidad para el emergente mundo Web3 con el fin de facilitar su adopción masiva. Con este fin, BlockSec ofrece servicios de auditoría de seguridad de contratos inteligentes y cadenas EVM, la plataforma Phalcon para el desarrollo de seguridad y el bloqueo proactivo de amenazas, la plataforma MetaSleuth para el rastreo e investigación de fondos, y la extensión MetaSuites para que los constructores de web3 naveguen eficientemente en el mundo cripto.

Hasta la fecha, la empresa ha atendido a más de 300 clientes de renombre como MetaMask, Uniswap Foundation, Compound, Forta y PancakeSwap, y ha recibido decenas de millones de dólares estadounidenses en dos rondas de financiamiento de inversores prominentes, incluyendo Matrix Partners, Vitalbridge Capital y Fenbushi Capital.

Sitio web oficial: https://blocksec.com/

Cuenta oficial de Twitter: https://twitter.com/BlockSecTeam

Sign up for the latest updates
~$5.98M Perdidos: Aztec, Raydium y Más | BlockSec Semanal
Security Insights

~$5.98M Perdidos: Aztec, Raydium y Más | BlockSec Semanal

Este informe semanal de seguridad blockchain cubre del 8 al 15 de junio de 2026, analizando 4 incidentes en Ethereum y Solana con pérdidas de ~$5.98M, incluyendo Aztec Connect y Raydium, con fallos de validación explotados tras años activos.

Sanciones de la OFAC al Cártel de Sinaloa: Rastreo de Fondos en la Cadena de Bloques

Sanciones de la OFAC al Cártel de Sinaloa: Rastreo de Fondos en la Cadena de Bloques

La OFAC sancionó una red del Cártel de Sinaloa por lavar ganancias de fentanilo. Rastreamos las seis direcciones sancionadas con MetaSleuth y el dinero fluye casi en su totalidad a través de exchanges centralizados.

Análisis del Error de Solidez en Zcash Orchard | BlockSec Weekly
Security Insights

Análisis del Error de Solidez en Zcash Orchard | BlockSec Weekly

Vulnerabilidad crítica en el circuito Orchard de Zcash divulgada en junio de 2026: restricción faltante en halo2 permitía falsificación indetectable de ZEC mediante doble gasto. Existió 4 años desde mayo 2022, descubierta por IA (Opus 4.8) y corregida con actualización NU6.2.