Back to Blog

Revisión mensual de seguridad: marzo de 2024

April 1, 2024
4 min read

Seguridad de un vistazo 👀

En marzo de 2024, los exploits en DeFi resultaron en pérdidas de aproximadamente $81 millones. Afortunadamente, gracias a los esfuerzos de todas las partes involucradas, la mayoría de los fondos han sido recuperados o se encuentran en negociación.

  • Incidente de Exploit en PrismaFi

El 28 de marzo, PrismaFi en Ethereum fue atacado, resultando en una pérdida de ~$11M. La causa raíz fue una Entrada de Usuario No Verificada. Cabe destacar que el ataque se llevó a cabo en más de 10 transacciones, con 2 atacantes imitadores. El equipo del proyecto logró pausar el contrato mediante multisig más de 90 minutos después del primer ataque. Usar Phalcon para implementar una pausa de emergencia de firma única durante este ataque podría haber reducido significativamente las pérdidas.

El atacante principal ha expresado su disposición a devolver los fondos, y las negociaciones con el equipo del proyecto aún continúan. Consulta los chats de negociación.

  • Incidente de Munchables

El 27 de marzo, los activos de Munchables en Blast L2 fueron drenados por $62M. Este incidente fue causado por una actualización maliciosa implementada por los desarrolladores (el contrato no era de código abierto). Afortunadamente, el equipo del proyecto y el equipo central de Blast L2 tomaron medidas, y el desarrollador devolvió los fondos. Actualmente, todos los fondos están en una Safe{wallet} controlada por el Equipo Central de Blast L2.

Declaración de Custodia; Cronología; Haz clic aquí para obtener más información sobre el incidente.

  • Incidente de Exploit en ParaSwap

Del 19 al 21 de marzo, varios usuarios de ParaSwap fueron atacados, con pérdidas totales de al menos $300K. La causa raíz fue un Problema de Control de Acceso. Vale la pena mencionar que el atacante principal devolvió el 90% de los activos.

  • Incidente de Exploit en Unizen

El 08 de marzo, Unizen en Ethereum y Polygon sufrió un exploit que resultó en una pérdida de $2.8 millones. La causa raíz fue un problema de Entrada de Usuario No Verificada. ¡Los usuarios de DeFi deben revisar sus aprobaciones regularmente y mantenerse alerta!

Además, los whitehats enviaron una transacción de rescate en Polygon a través del RPC Semi-Privado de bloXroute, pero la transacción de rescate fue enviada al mempool y fue adelantada por bots MEV, lo que generó controversia. Lee más sobre esto.

  • Incidente de Exploit en el Token TGBS

El 06 de marzo, el Token TGBS en BSC sufrió un exploit que resultó en una pérdida de $150K. Curiosamente, los cambios realizados por el propietario apenas una hora antes desencadenaron el ataque, por lo que podría ser otro rug pull. Ver la alerta

  • Incidente de Exploit en WooFi

El 05 de marzo, WooFi en Arbitrum sufrió un exploit que resultó en una pérdida de $8.75 millones. La causa raíz fue un problema de Dependencia de Precio Vulnerable. El mercado de préstamos de WooFi fue explotado porque el precio de $Woo fue manipulado para ser extremadamente bajo, lo que permitió al explotador tomar prestadas grandes cantidades de $Woo mediante flashloan y repagarlas fácilmente.

Aunque su mecanismo de precios utilizaba el oráculo de Chainlink para verificar precios, Chainlink en Arbitrum no proporcionaba el precio de $Woo, lo que impidió prevenir el ataque. Lee el informe post-mortem

👉 Puedes ver las transacciones de ataque, la causa raíz y el PoC de los incidentes anteriores en nuestra Lista de Incidentes de Seguridad.

Artículos del Blog y Video

Cómo las cadenas L2 pueden implementar diversas medidas para mejorar la seguridad de los principales protocolos y proteger los activos de los usuarios en la cadena.

Asegura el ciclo de vida completo de tu protocolo con BlockSec. Desde auditorías de seguridad previas al lanzamiento hasta monitoreo y bloqueo de ataques posteriores al lanzamiento (Phalcon), te tenemos cubierto.

El CEO de BlockSec, Yajin Zhou, sube al escenario en Open Information House @ ETHDenver 2024 para pronunciar un discurso clave titulado "BlockSec y la Vanguardia de la Seguridad."

No pierdas esta oportunidad para una discusión dinámica y reveladora que promete cambiar la forma en que piensas sobre la seguridad en blockchain.

Asociación

El explorador de blockchain Blockscout ha integrado las etiquetas de dirección de MetaSuites (Ethereum, Polygon, Gnosis, Optimism y Base) y la función de explicación de transacciones impulsada por GPT (Ethereum), y también ha añadido acceso rápido al Phalcon Explorer. 🎉🎉

Nuevo Sitio, Nuevo Capítulo

Noticias emocionantes: ¡hemos renovado completamente nuestro sitio web!

En BlockSec, te respaldamos, asegurando que tus protocolos estén seguros en cada paso del camino, desde la etapa previa al lanzamiento hasta la posterior. ¡Haz clic aquí para explorar!

Sign up for the latest updates
~$5.98M Perdidos: Aztec, Raydium y Más | BlockSec Semanal
Security Insights

~$5.98M Perdidos: Aztec, Raydium y Más | BlockSec Semanal

Este informe semanal de seguridad blockchain cubre del 8 al 15 de junio de 2026, analizando 4 incidentes en Ethereum y Solana con pérdidas de ~$5.98M, incluyendo Aztec Connect y Raydium, con fallos de validación explotados tras años activos.

Sanciones de la OFAC al Cártel de Sinaloa: Rastreo de Fondos en la Cadena de Bloques

Sanciones de la OFAC al Cártel de Sinaloa: Rastreo de Fondos en la Cadena de Bloques

La OFAC sancionó una red del Cártel de Sinaloa por lavar ganancias de fentanilo. Rastreamos las seis direcciones sancionadas con MetaSleuth y el dinero fluye casi en su totalidad a través de exchanges centralizados.

Análisis del Error de Solidez en Zcash Orchard | BlockSec Weekly
Security Insights

Análisis del Error de Solidez en Zcash Orchard | BlockSec Weekly

Vulnerabilidad crítica en el circuito Orchard de Zcash divulgada en junio de 2026: restricción faltante en halo2 permitía falsificación indetectable de ZEC mediante doble gasto. Existió 4 años desde mayo 2022, descubierta por IA (Opus 4.8) y corregida con actualización NU6.2.