Back to Blog

Boletín informativo - Febrero 2026

Code Auditing
March 1, 2026
3 min read

Los 3 principales incidentes DeFi de febrero

YieldBlox DAO: ~$10M

El 22 de febrero de 2026, un pool de préstamos operado por YieldBlox DAO en Blend V2 de Stellar fue explotado, resultando en pérdidas superiores a $10 millones.

La causa raíz fue la dependencia de una fuente de precios manipulable. Específicamente, el mercado USTRY/USDC en SDEX tenía una liquidez extremadamente baja. El atacante eliminó las órdenes legítimas e insertó órdenes anómalas, inflando artificialmente el precio de USTRY de aproximadamente $1.06 a $107. Posteriormente, Reflector actualizó su feed de precios con este valor manipulado, lo que provocó que el pool de préstamos sobrevalorara gravemente el colateral en USTRY. Aprovechando esta valoración inflada del colateral, el atacante aportó un colateral mínimo en USTRY y tomó prestados aproximadamente 1M de USDC y 61.2M de XLM en dos transacciones. Los activos robados fueron luego transferidos mediante bridge a Base, BSC y Ethereum.

Es importante destacar que este incidente no fue causado por una vulnerabilidad en el contrato, sino por un fallo de configuración a nivel del operador del pool. Este caso subraya la importancia crítica de feeds de precios robustos y resistentes a la manipulación para los protocolos de préstamos que dependen de Oráculos externos. Los operadores de protocolo deben ejercer una precaución extrema al seleccionar y monitorear continuamente las fuentes de oráculos.

Ver análisis técnico detallado

IoTex: ~$4.4M

El 21 de febrero de 2026, el bridge ioTube de IoTeX sufrió una brecha de seguridad, resultando en pérdidas superiores a $4.4 millones.

La causa raíz fue el compromiso de la clave privada del propietario del contrato Validator en el lado de Ethereum. Dado que la arquitectura del bridge otorgaba plena autoridad administrativa a un único propietario sin salvaguardas de firma múltiple ni timelock, el atacante pudo invocar la función upgrade() del contrato Validator para transferir la propiedad de los contratos TokenSafe y MintPool a una dirección controlada por el atacante. El atacante luego acuñó más de 410M de CIOTX a través de MintPool y drenó aproximadamente $4.4M en activos de reserva del bridge (USDC, USDT, WBTC, WETH, BUSD, etc.) desde TokenSafe. Según el equipo del proyecto, aproximadamente 355M de los tokens CIOTX acuñados han sido bloqueados o congelados de forma permanente a partir del 26 de febrero.

Este incidente es un ejemplo clásico de compromiso de clave por punto único de fallo, subrayando los riesgos críticos del control administrativo centralizado en arquitecturas de bridges entre cadenas. Los equipos de proyecto deben evitar concentrar privilegios críticos en una sola cuenta, especialmente para operaciones de alto riesgo como actualizaciones de contratos, custodia de activos y acuñación de tokens.

CrossCurve: ~$2.8M

El 2 de febrero de 2026, el protocolo de bridge CrossCurve fue explotado en múltiples cadenas, incluyendo Ethereum, Arbitrum y Optimism. El incidente resultó en pérdidas de aproximadamente $2.8 millones.

La causa raíz fue que el contrato ReceiverAxelar exponía una función expressExecute() sin permisos que eludía el proceso de validación estándar del Gateway de Axelar. Según el modelo de seguridad previsto por Axelar, los mensajes entre cadenas deben ser primero aprobados por el Gateway y luego validados en la cadena de destino mediante validateContractCall(). Sin embargo, la ruta expressExecute() omitía este proceso por completo, dependiendo únicamente de verificaciones de lista blanca mediante los parámetros sourceChain y sourceAddress. Sin embargo, ambos parámetros eran especificados por el usuario y podían ser falsificados por el atacante. Al crear un mensaje falsificado con una dirección de par en la lista blanca, el atacante eludió todos los controles de seguridad y activó la función unlock() en el Eywa CLP Portal, liberando 999,787,453 tokens EYWA.

Este incidente demuestra que las rutas de ejecución rápida deben aplicar los mismos supuestos de seguridad, lógica de validación y garantías de control de acceso que los flujos de ejecución estándar. Cualquier optimización que debilite el modelo de confianza canónico crea efectivamente una vulnerabilidad de seguridad.

La información anterior está basada en datos a las 00:00 UTC del 28 de febrero de 2026.

Con esto concluye el resumen de incidentes de seguridad de febrero.

Puede obtener más información en nuestra Biblioteca de Incidentes de Seguridad.

¡Manténgase informado y manténgase seguro!

Sign up for the latest updates
~$5.98M Perdidos: Aztec, Raydium y Más | BlockSec Semanal
Security Insights

~$5.98M Perdidos: Aztec, Raydium y Más | BlockSec Semanal

Este informe semanal de seguridad blockchain cubre del 8 al 15 de junio de 2026, analizando 4 incidentes en Ethereum y Solana con pérdidas de ~$5.98M, incluyendo Aztec Connect y Raydium, con fallos de validación explotados tras años activos.

Análisis del Error de Solidez en Zcash Orchard | BlockSec Weekly
Security Insights

Análisis del Error de Solidez en Zcash Orchard | BlockSec Weekly

Vulnerabilidad crítica en el circuito Orchard de Zcash divulgada en junio de 2026: restricción faltante en halo2 permitía falsificación indetectable de ZEC mediante doble gasto. Existió 4 años desde mayo 2022, descubierta por IA (Opus 4.8) y corregida con actualización NU6.2.

Boletín informativo - Mayo 2026
Security Insights

Boletín informativo - Mayo 2026

En mayo de 2026, DeFi sufrió tres incidentes: Echo Protocol perdió ~$76.7M por compromiso de clave admin; StablR ~$12.8M por brecha multisig; y el puente Verus-Ethereum ~$11.7M por fallo de validación de tipos.

Best Security Auditor for Web3

Validate design, code, and business logic before launch. Aligned with the highest industry security standards.

BlockSec Audit