Los 3 principales incidentes DeFi de diciembre
Yearn Finance: ~$9M
El 1 de diciembre, el pool yETH de Yearn Finance en Ethereum fue explotado, lo que resultó en pérdidas totales superiores a $9 millones. Con la asistencia de equipos externos de seguridad, aproximadamente $2,39 millones (857,49 pxETH) fueron rescatados exitosamente el mismo día.
La vulnerabilidad residía en la función _calc_supply(), que utilizaba un método iterativo para calcular nuevas aproximaciones de suministro. Las operaciones matemáticas inseguras provocaron errores de redondeo y problemas de desbordamiento inferior. Si bien la vulnerabilidad en sí parecía relativamente sencilla, el atacante ejecutó pasos sofisticados para explotarla, manipulando el suministro del pool hasta llevarlo a cero antes de extraer las ganancias.
Dieciséis días después, el protocolo sufrió una segunda brecha cuando un contrato desactualizado de su versión heredada (iEarn) fue comprometido. Este incidente explotó una vulnerabilidad de configuración incorrecta conocida identificada previamente en 2023. El segundo incidente resultó en pérdidas de $300k, elevando el impacto mensual total del protocolo a casi $10 millones.
Leer el post-mortem oficial para un análisis detallado del ataque
Trust Wallet: ~$7M
El día de Navidad, Trust Wallet sufrió una brecha de seguridad crítica en su extensión de Chrome (v2.68), lo que resultó en el robo de aproximadamente $7 millones en fondos de usuarios.
La causa raíz fue una puerta trasera maliciosa inyectada en el código fuente, que se sospecha se originó a partir de un ataque de ingeniería social dirigido al equipo de desarrollo. Este método de puerta trasera carga las frases mnemónicas de los usuarios en un servidor controlado por el atacante, comprometiendo cualquier frase mnemónica generada o importada utilizando esta versión específica de la extensión. Posteriormente, el atacante drenó los fondos de los usuarios en múltiples cadenas y los dirigió hacia exchanges sin KYC.
Tras el incidente, el equipo de Trust Wallet lanzó una actualización de emergencia para eliminar la puerta trasera y se comprometió con un plan de compensación para los usuarios afectados. Esta brecha sirve como un recordatorio contundente de que la seguridad debe abarcar todo el ciclo de vida del protocolo. Más allá de las auditorías de código en cadena, asegurar la infraestructura fuera de cadena y mantener un monitoreo continuo son aspectos esenciales para proteger los activos de los usuarios.
Ribbon Finance: ~$2.7M
El 12 de diciembre, Ribbon Finance en Ethereum fue atacado, resultando en una pérdida de $2,7 millones.
La causa raíz fue un control de acceso inadecuado en la función setAssetPricer() dentro del contrato Oracle, lo que permitía a cualquier persona establecer precios de activos de forma arbitraria. El atacante lo explotó configurando primero un oráculo de precios de apariencia legítima para evitar la detección, ya que el protocolo solo liquida opciones en intervalos semanales completos. Después de crear y comprar una posición de opción de compra, el atacante esperó hasta la fecha de ejercicio para actualizar el contrato y reemplazar el oráculo benigno por uno malicioso que establecía un precio de activo artificialmente inflado, y luego ejerció la opción para extraer ganancias.
Este incidente pone de relieve que el control de acceso sigue siendo un aspecto crítico de la seguridad de los contratos inteligentes. Un único descuido en la gestión de permisos puede exponer los protocolos a riesgos significativos. Las auditorías de seguridad integrales que examinen todas las funciones administrativas son esenciales antes del despliegue para identificar y abordar dichas vulnerabilidades.
La información anterior se basa en datos a las 00:00 UTC del 30 de diciembre de 2025.
Esto concluye el resumen de incidentes de seguridad de diciembre
Puede obtener más información en nuestra Biblioteca de Incidentes de Seguridad.
¡Manténgase informado y manténgase seguro!
