Los 3 Principales Incidentes DeFi de Marzo
Resolv Protocol: ~$80M
El 22 de marzo de 2026, Resolv sufrió una brecha de seguridad que resultó en pérdidas de $80M*.
La causa raíz fue el compromiso de claves de infraestructura privilegiadas. Usando la clave robada, el atacante abusó de un flujo privilegiado de finalización de intercambio y acuñó más de 80M de USR sin el colateral equivalente en tres transacciones de explotación. Si bien la causa raíz fue sencilla, este incidente reveló una falta más amplia de controles de seguridad, tanto on-chain como off-chain. El proyecto no aplicó ninguna validación estricta durante la aprobación de acuñación, ni contaba con estrategias de monitoreo para detectar y responder a la brecha a tiempo.
Cabe destacar que el impacto se extendió mucho más allá de los 80M en acuñación no autorizada de USR. Dado que los activos de Resolv se utilizaban ampliamente como colateral en múltiples protocolos de préstamo, la despeg desencadenó un contagio más amplio. Según informó Chaos Labs, los curadores on-chain que utilizaban asignación automatizada de búsqueda de rendimiento carecían de controles de riesgo en tiempo real y continuaron dirigiendo capital nuevo hacia mercados ya deteriorados. Lo que comenzó como una explotación localizada escaló rápidamente a un evento de contagio entre protocolos, dejando a los protocolos de préstamo con millones en deuda incobrable.
*La pérdida se estima en función del valor vinculado de USR de $1.
BitcoinReserveOffering: ~$2.7M
El 5 de marzo de 2026, el contrato BitcoinReserveOffering en Ethereum fue explotado por aproximadamente $2.7M.
La causa raíz fue una lógica de negocio defectuosa en la función mint(), que ejecutaba la lógica de acuñación dos veces al procesar un depósito completo de ERC-3525 SFT. Debido a que ERC-3525 hereda de ERC-721, las transferencias seguras activan una llamada de retorno onERC721Received(). Dentro de la llamada de retorno, la cantidad de tokens BRO era calculada y acuñada hacia el llamador. Sin embargo, tras el retorno de la llamada de retorno, el mint() externo se reanudaba y realizaba una segunda operación de acuñación, duplicando los BRO emitidos por depósito. Esto permitió al atacante inflar su saldo de BRO mediante ciclos repetidos de quema y acuñación en una transacción de ataque.
Para prevenir problemas similares, los protocolos deben garantizar que la contabilidad de activos ocurra exactamente una vez por operación de depósito, con las actualizaciones de estado confirmadas antes de cualquier llamada externa capaz de activar una llamada de retorno. Además, se deben agregar verificaciones de invariantes para garantizar que los montos acuñados nunca superen el valor depositado subyacente.
Venus Protocol: ~$2.15M
El 15 de marzo de 2026, el mercado THE (Thena) de Venus en BNB Chain sufrió un ataque de donación combinado con manipulación de mercado. Este incidente resultó en aproximadamente $2.15M en deuda incobrable del protocolo, mientras que el explotador incurrió en una pérdida neta on-chain de ~$4.7M.
Venus es un protocolo de préstamo bifurcado de Compound V2. El mercado afectado utiliza THE como activos subyacentes, los cuales tienen poca liquidez on-chain. El ataque de donación fue posible porque el contrato del mercado deriva totalCash del saldo bruto del contrato. Esto permitió al atacante donar THE directamente al mercado, lo que incrementó totalCash e infló el exchangeRate. Con este colateral inflado, el atacante tomó prestados activos líquidos, los intercambió por más THE y elevó el precio de mercado de THE. Los tokens THE obtenidos fueron donados adicionalmente al mercado, escalando continuamente el impacto del ataque.
Este incidente sirve como advertencia a los protocolos de préstamo en dos frentes: la lógica de contabilidad y la configuración de riesgos. Los protocolos deben implementar mecanismos de contabilidad resistentes a la manipulación que reflejen con precisión los valores de los activos y no puedan ser distorsionados por ataques de donación. Además, los parámetros de riesgo críticos como los límites de suministro, los límites de préstamo y los ratios LTV (Loan-to-Value) deben configurarse cuidadosamente para limitar la exposición del protocolo.
Para un análisis detallado, lea nuestra publicación en profundidad:
https://blocksec.com/blog/venus-thena-donation-attack
La información anterior está basada en datos a las 00:00 UTC del 31 de marzo de 2026.
Con esto concluye el resumen de incidentes de seguridad de marzo. Para un análisis más profundo de los incidentes de seguridad en blockchain y las tendencias de seguridad en Web3, puede explorar nuestros recursos.
Puede obtener más información en nuestra Biblioteca de Incidentes de Seguridad.
¡Manténgase informado y manténgase seguro!
