Back to Blog

Revisión Mensual de Seguridad: Junio 2024

July 1, 2024
5 min read

Seguridad de un Vistazo 👀

Sector DeFi

  • Hackeos a UwU Lend

El 10 y el 13 de junio, UwU Lend sufrió ataques que resultaron en pérdidas superiores a $23M.

La causa raíz del primer ataque fue una Dependencia de Precio Vulnerable. El pool de préstamos obtenía precios de 11 fuentes, incluidos 5 precios actuales (AMM) de Curve, 5 precios oracle de Curve (EMA) y un precio de Uniswap (TWAP), tomando finalmente la mediana. Dado que los precios actuales podían manipularse dentro de una sola transacción, el atacante utilizó un préstamo flash para alterar drásticamente los 5 precios actuales, haciendo que el precio obtenido fuera el mínimo o el máximo de los precios oracle. Esto resultó en una pérdida de aproximadamente $20M.

El 13 de junio, el equipo de UwU Lend reinició el protocolo y fue atacado nuevamente. El atacante añadió uSUSDe y WETH como garantía y luego tomó prestado WETH basándose en el LTV. El uSUSDe no participaba en el LTV pero sí en el cálculo del factor de salud durante el retiro de liquidez, lo que permitió al atacante retirar más WETH y obtener ganancias.

Cabe destacar que el white hat makemake_kbo publicó en Twitter que había reportado la vulnerabilidad hace un año y contactó al equipo del proyecto sin obtener respuesta, emitiendo finalmente una advertencia en Twitter.

  • Hackeo a Velocore

Causa raíz: La falta de verificación en effectiveFee1e9 provocó un desbordamiento inferior (underflow) en la función velocore__execute.

Tras el ataque, Linea detuvo la producción de bloques durante 1 hora. Para los proyectos L2, contar con un mecanismo de respuesta de emergencia es más efectivo que pausar toda la cadena. 👉 Conoce la primera plataforma mundial de monitoreo y bloqueo de hackeos cripto aquí.

  • Hackeo a Holograph

Holograph anunció que un ex contratista explotó el protocolo para acuñar HLG adicional.

Muchos ataques pasados han demostrado que los proyectos suelen comprometer la gestión de claves privadas por comodidad. Esto los expone a graves riesgos de ataques internos y externos que obtienen permisos de administrador o claves privadas. Usar Phalcon para monitoreo externo permite un monitoreo operacional con un solo clic, facilitando la detección temprana y la minimización de pérdidas.

Otros

  • Hackeo a DMM Exchange

A principios de junio, DMM Exchange reveló un incidente de seguridad en el que 4.502,9 BTC (más de $300M) fueron robados el 31 de mayo (UTC).

Sin más detalles de DMM, la causa sigue siendo desconocida. Sin embargo, la dirección del hacker y la dirección normal de DMM compartían los mismos primeros cinco y últimos dos caracteres, y los BTC robados provenían de una dirección multifirma. Las especulaciones sugieren que un ataque fuera de la cadena reemplazó la dirección de transferencia, engañando al personal para que firmara la transacción. Usa MetaSleuth para rastrear los fondos aquí.

  • Kraken

El 19 de junio, el Director de Seguridad de Kraken, Nick Percoco, reveló en X que habían recibido un informe sobre una vulnerabilidad "extremadamente crítica" de una empresa de seguridad a través de su programa de recompensas por errores. El informe afirmaba haber encontrado una vulnerabilidad que podía aumentar artificialmente los saldos de las cuentas. Sin embargo, tras corregir la vulnerabilidad, Kraken descubrió comportamientos sospechosos durante las negociaciones con la empresa de seguridad, involucrando $3 millones. Publicación de Nick Percoco: Ver publicación

CertiK posteriormente asumió responsabilidad por el asunto en X, divulgó más información y explicó sus acciones. Enfatizaron que habían realizado pruebas de varios días en Kraken y que ya habían devuelto los fondos. Este incidente generó un intenso debate en la comunidad. Publicación de CertiK: Ver publicación Consulta la causa raíz aquí y la transacción de ejemplo aquí.

  • CoinStats

CoinStats sufrió una pérdida de $2 millones en un ataque. Su CEO declaró que la brecha se debió a un ataque de ingeniería social a un empleado, lo que comprometió su infraestructura AWS. Haz clic aquí para obtener más información

Artículos del Blog

BlockSec ha curado la serie "Solana Simplificado", que incluye artículos sobre los conceptos básicos de Solana, tutoriales sobre cómo escribir contratos inteligentes en Solana y guías para analizar transacciones de Solana. El objetivo es ayudar a los lectores a comprender el ecosistema de Solana y dominar las habilidades esenciales para desarrollar proyectos y realizar transacciones en Solana.

01: Domina los Conceptos Fundamentales de Solana en una Sola Lectura

https://blocksec.com/blog/solana-simplified-master-solana-core-concepts-in-one-read

02: Escribe tu Primer Contrato Inteligente en Solana desde Cero

https://blocksec.com/blog/solana-simplified-02-writing-your-first-solana-smart-contract-from-scratch

03: Entiende las Transacciones de Solana en 5 Minutos

https://blocksec.com/blog/solana-simplifed-03-understand-solana-transactions-in-5-minutes

BlockSec X Solana Summit

Del 20 al 22 de junio, BlockSec se presentó con orgullo en el Solana Summit APAC 2024 en KL. ¡Esperamos veros a todos en más eventos globales en el futuro!

¡Phalcon Explorer ahora es totalmente compatible con Solana!

Phalcon Explorer introduce nuevas funciones para mejorar la experiencia de usuarios y desarrolladores, que incluyen:

🚀 Relaciones de cuentas y cambios de tokens más claros

🚀 Etiquetado de transacciones MEV y más de 300M de etiquetas de direcciones

🚀 Jerarquías de llamadas a funciones precisas y claras con niveles expandibles

Experimenta Phalcon Explorer aquí

Haz clic aquí para obtener más información

Sign up for the latest updates
~$5.98M Perdidos: Aztec, Raydium y Más | BlockSec Semanal
Security Insights

~$5.98M Perdidos: Aztec, Raydium y Más | BlockSec Semanal

Este informe semanal de seguridad blockchain cubre del 8 al 15 de junio de 2026, analizando 4 incidentes en Ethereum y Solana con pérdidas de ~$5.98M, incluyendo Aztec Connect y Raydium, con fallos de validación explotados tras años activos.

Análisis del Error de Solidez en Zcash Orchard | BlockSec Weekly
Security Insights

Análisis del Error de Solidez en Zcash Orchard | BlockSec Weekly

Vulnerabilidad crítica en el circuito Orchard de Zcash divulgada en junio de 2026: restricción faltante en halo2 permitía falsificación indetectable de ZEC mediante doble gasto. Existió 4 años desde mayo 2022, descubierta por IA (Opus 4.8) y corregida con actualización NU6.2.

Boletín informativo - Mayo 2026
Security Insights

Boletín informativo - Mayo 2026

En mayo de 2026, DeFi sufrió tres incidentes: Echo Protocol perdió ~$76.7M por compromiso de clave admin; StablR ~$12.8M por brecha multisig; y el puente Verus-Ethereum ~$11.7M por fallo de validación de tipos.