Back to Blog

Los 10 incidentes de seguridad más "impresionantes" de 2023

Phalcon Security
February 23, 2024
10 min read

Quienes no pueden recordar el pasado están condenados a repetirlo.

En 2023, hemos sido testigos de numerosos incidentes de seguridad que han causado graves pérdidas a la comunidad. Fueron tragedias para los afectados. Sin embargo, estos incidentes ofrecen lecciones para advertir a la comunidad que la seguridad debe ser una prioridad.

Entre los incidentes, BlockSec seleccionó cuidadosamente diez casos excepcionales, cada uno con una razón única. Algunos estuvieron llenos de gran dramatismo; otros presentaron estrategias de ataque "innovadoras", algunos ocasionaron pérdidas financieras significativas, y otros explotaron superficies de ataque previamente desconocidas.

En este blog, ilustraremos los diez principales incidentes de seguridad que merecen mención en 2023 y sus razones. Para cada incidente de seguridad, también presentaremos la causa raíz y los pasos del ataque en publicaciones de blog independientes.

#1 Cosechando Bots MEV mediante la Explotación de Vulnerabilidades en el Relay de Flashbots

Resumen

El 3 de abril de 2023, un atacante aprovechó una vulnerabilidad existente en el relay de Flashbots para atacar múltiples Bots MEV, obteniendo ganancias de alrededor de $20 millones. La causa raíz de este ataque es que una transacción privada podía filtrarse al grupo público bajo ciertas condiciones, y el atacante podía ejecutar una transacción posterior a la filtrada para obtener beneficios.

Razón de la Selección

El atacante utilizó métodos sofisticados para cosechar Bots MEV explotando una vulnerabilidad de día cero en Flashbots, creando transacciones de honeypot para atraer víctimas e implementando tácticas para evadir la detección. Este es, hasta ahora, el ataque más sofisticado, que combina la vulnerabilidad en la infraestructura subyacente de la blockchain con una estrategia de ataque apalancada que ha tenido un impacto financiero significativo.

🧐 Conoce la causa raíz y los pasos del ataque en detalle.

#2: Incidente de Euler Finance: El Mayor Hackeo de 2023

Resumen

El 13 de marzo de 2023, Euler Finance sufrió un ataque de préstamo flash en su pool de préstamos, lo que generó pérdidas de casi $200 millones. El ataque se originó porque la función donateToReserves() carecía de verificaciones de insolvencia. Esta omisión permitió a los atacantes aportar activos desde una posición con alto apalancamiento, reduciendo la salud de la posición por debajo del 100% e incurriendo en deuda incobrable.

El diseño de Euler incorpora un factor de cierre dinámico para liquidaciones suaves, lo que significa que cuanto menor es la salud de una posición, más garantías son elegibles para liquidación —hasta un 75% en caso de deuda incobrable, según los datos de este incidente. La liquidación de garantías con descuentos sustanciales permitió, por tanto, al atacante liquidar el préstamo flash y asegurar una ganancia.

Razón de la Selección

Un récord de $197 millones en fondos fue robado por un argentino de 20 años llamado Federico Jaime, quien presentó a los medios "una narrativa sinuosa, a veces confusa e incluso contradictoria". Sin embargo, "todos los fondos recuperables" fueron posteriormente devueltos a la dirección del tesoro de Euler Finance. No obstante, una pequeña porción de ellos (alrededor de $200K) fue enviada "sin saberlo" al Grupo Lazarus —un presunto sindicato criminal norcoreano patrocinado por el Estado y sancionado por el Tesoro de EE. UU.

🧐 Conoce la causa raíz y los pasos del ataque en detalle.

#3: Incidente de KyberSwap: Explotación Magistral de Errores de Redondeo con Cálculos Excepcionalmente Sutiles

Resumen

El 23 de noviembre de 2023, se produjo una serie de ataques dirigidos a KyberSwap. Estos ataques resultaron en una pérdida total de más de $48 millones. El problema fundamental se originó a partir de una dirección de redondeo incorrecta durante el proceso de reinversión de KyberSwap. Esto condujo posteriormente a cálculos incorrectos de ticks y, en última instancia, a un doble conteo de liquidez.

Razón de la Selección

Este ataque de 2023 destaca por su complejidad, con cálculos excepcionalmente matizados, y sirve como ejemplo destacado de los numerosos incidentes de seguridad relacionados con la precisión que han puesto a prueba significativamente a la comunidad. Además, tras extensas negociaciones con las autoridades, el atacante emitió un mensaje de tono provocador al público, exigiendo el control total sobre el protocolo.

🧐 Conoce la causa raíz y los pasos del ataque en detalle.

#4: Incidente de Curve: Un Error del Compilador Produce Bytecode Defectuoso a partir de Código Fuente Inocente

Resumen

El 30 de julio de 2023, una serie de exploits apuntó a múltiples pools de Curve, resultando en pérdidas de millones de dólares. Fue un ataque de reentrada típico con una causa raíz no típica, derivada de un error del compilador que provocó la ausencia de protección contra la reentrada. Específicamente, hubo un error por el cual los bloqueos de reentrada para diferentes funciones dentro de un contrato inteligente recibieron diferentes ranuras de almacenamiento. Como resultado, los contratos inteligentes compilados usando las versiones 0.2.15, 0.2.16 y 0.3.0 de Vyper eran vulnerables.

Razón de la Selección

La vulnerabilidad se originó en el compilador, no en el código fuente. Es la primera vez que un error de compilador ha conducido a una enorme pérdida financiera.

🧐 Conoce la causa raíz y los pasos del ataque en detalle.

#5: Incidentes de Platypus Finance: Sobreviviendo a Tres Ataques por Pura Suerte

Resumen

Platypus Finance es un legendario protocolo DeFi que milagrosamente resistió tres ataques sucesivos, de la siguiente manera:

  • El 17 de febrero de 2023, experimentó un hackeo debido a una verificación de solvencia incorrecta, resultando en una pérdida total de aproximadamente $9.05M. De este monto, $2.4M fueron rescatados con la ayuda de BlockSec. Aproximadamente 380K tokens quedaron atrapados en el contrato de Aave y luego fueron devueltos.
  • El 12 de julio de 2023, fue hackeado, con alrededor de $50K perdidos debido a ignorar la diferencia de precio entre stablecoins.
  • El 12 de octubre de 2023, sufrió ataques de manipulación de precios, con alrededor de $2.2M perdidos. Tras negociar con el explotador, el 90% de los fondos robados fueron devueltos.

Se dice que "el destino de una persona, por supuesto, depende de sus propios esfuerzos, pero también debe considerarse el curso de la historia". Evidentemente, el proyecto tuvo la suerte de sobrevivir a todos esos ataques. Nuestro análisis de estos tres exploits muestra que las fallas lógicas podrían haberse evitado, con una auditoría cuidadosa o medidas de seguridad más activas.

Razón de la Selección

  • Sobrevivir una vez es difícil, pero hacerlo tres veces debe considerarse legendario.
  • El proyecto fue golpeado por tres ataques distintos, cada uno apuntando a una vulnerabilidad diferente.
  • Las acciones proactivas de BlockSec ayudaron al proyecto a rescatar $2.4M.

🧐 Conoce la causa raíz y los pasos del ataque en detalle.

#6: Incidente de Hundred Finance: Catalizando la Ola de Exploits Relacionados con la Precisión en Protocolos Bifurcados Vulnerables a lo Largo de 2023

Resumen

El 16 de abril de 2023, Hundred Finance, un fork de Compound v2, fue atacado, lo que generó una pérdida de aproximadamente $6.8 millones. El ataque involucró dos causas raíz principales:

  • Un problema de redondeo incorrecto;
  • Mercados vacíos que permitieron al atacante manipular la tasa de cambio.

Específicamente, el problema de precisión se explota para afectar el rescate y la retirada de garantías. Los mercados o pools que no están correctamente inicializados pueden enfrentar una escasez de liquidez, lo que puede llevar a la manipulación y un desequilibrio de liquidez resultante entre el activo subyacente y el token de participación correspondiente (p. ej., el cToken de Compound). En consecuencia, el precio del token de participación puede inflarse, permitiendo que se use como garantía —con solo una cantidad mínima, o ligeramente superior, del activo original— para pedir prestados otros activos subyacentes valiosos. En última instancia, los atacantes pudieron rescatar y retirar el activo subyacente original debido a una pérdida de precisión.

Este incidente en Hundred Finance, y uno posterior dirigido a HopeLend, un fork de Aave v2, revelaron un nuevo paradigma de explotaciones que podría potencialmente apuntar a estos dos protocolos prominentes y sus forks mediante la manipulación de las tasas de tokens LP. Posteriormente, se observó una serie de ataques similares.

Razón de la Selección

Hundred Finance, el primer fork de Compound V2 en sufrir un hackeo debido a pérdida de precisión, sentó las bases para una serie de brechas de seguridad similares en DeFi. Además, este incidente puede haber catalizado la posterior ola de ataques en protocolos bifurcados de Aave V2.

🧐 Conoce la causa raíz y los pasos del ataque en detalle.

#7: Incidente de ParaSpace: Una Carrera Contra el Tiempo para Frustrar el Ataque Más Crítico de la Industria hasta la Fecha

Resumen

El 17 de marzo de 2023, debido a una vulnerabilidad en el oráculo de precios, ParaSpace se convirtió en el objetivo de un ataque de hackers. Tras los tres intentos fallidos del hacker, el sistema BlockSec Phalcon intervino de manera oportuna, salvando más de 5 millones de dólares en ETH mediante una operación de rescate.

Razón de la Selección

El Bloque Más Importante de la Industria: más de $5M rescatados por el Sistema BlockSec Phalcon

🧐 Conoce la causa raíz y los pasos del ataque en detalle.

#8: Incidente de SushiSwap: Un Intento de Rescate Conduce a una Serie de Ataques Imitadores

Resumen

El 9 de abril de 2023, SushiSwap fue víctima de un exploit causado por un Parámetro Externo No Verificado. El protocolo en sí no sufrió daños, pero los usuarios que habían otorgado permisos al contrato RouteProcessor2 fueron los principales objetivos. La naturaleza del ataque, que se centró en usuarios con autorización activa al contrato y su facilidad de replicación, condujo a pérdidas sustanciales para los usuarios.

BlockSec rescató exitosamente 100 Ether y los devolvió a la víctima. Un whitehat con el nombre de usuario @trust__90 realizó el primer intento de rescatar fondos, pero este esfuerzo desafortunadamente falló. El método utilizado por el whitehat era fácilmente replicable y solo apuntaba a salvar una pequeña porción del total de fondos en riesgo. Esto abrió la puerta para que los atacantes ejecutaran múltiples transacciones imitadoras, vaciando efectivamente la mayor parte de los fondos.

Razón de la Selección

  • SushiSwap, que estaba bajo ataque, es un protocolo líder en Ethereum con una gran base de usuarios. El ataque tuvo un impacto de amplio alcance.
  • El rescate del whitehat desafortunadamente falló, lo que llevó a varios ataques imitadores. Esto plantea preguntas sobre cómo realizar un rescate whitehat y cómo gestionarlo correctamente.

🧐 Conoce la causa raíz y los pasos del ataque en detalle.

#9: MEV Bot 0xd61492: De Depredador a Presa en un Exploit de Préstamo Flash

Resumen

El 3 de agosto de 2023, un Bot MEV en Arbitrum fue atacado, resultando en una pérdida de $800K. La causa raíz de este ataque fue la Verificación Insuficiente de la Entrada del Usuario. El atacante engañó al "Bot MEV de Arbitraje" (0x8db0ef) para que tomara prestado del "Bot MEV Vault" (0xd61492), activando así el mecanismo de préstamo flash. Simultáneamente, el atacante, haciéndose pasar por un proveedor de préstamos flash, se apropió de todos los activos prestados al "Bot MEV de Arbitraje" y se apoderó de la aprobación del "Bot MEV Vault".

Considerando las intrincadas interacciones entre los Bots MEV y su falta de verificación de código abierto, es desconcertante cómo el atacante identificó y navegó por esta elaborada ruta de exploit.

Razón de la Selección

Los Bots MEV de arbitraje son frecuentemente considerados como un misterioso depredador debido a su naturaleza de código no abierto. Comprender la lógica exacta detrás de estos Bots MEV puede ser un desafío. Sin embargo, la mayoría de ellos utilizan préstamos flash para maximizar la tasa de utilización de fondos, lo que crea oportunidades para los atacantes. El hackeo del Bot MEV 0xd61492 es un caso real de explotación de la interacción entre el Bot y el proveedor de préstamos flash.

Las partes interesantes de este incidente incluyen:

  • Primero, la vulnerabilidad oculta dentro de las complejas funciones de callback de los módulos del Bot MEV.
  • Segundo, eludir las restricciones en el sistema de Bot MEV de múltiples contratos.

🧐 Conoce la causa raíz y los pasos del ataque en detalle.

#10: Incidente de ThirdWeb: La Incompatibilidad Entre Módulos de Confianza Expone una Vulnerabilidad

Resumen

El 5 de diciembre de 2023, se informó que los contratos inteligentes de ThirdWeb eran vulnerables. El problema es una incompatibilidad entre los estándares ERC-2771 y Multicall. ERC-2771 define una interfaz para recibir meta-transacciones a través de un reenviador de confianza, mientras que Multicall permite agrupar múltiples llamadas a funciones dentro de una sola transacción. La vulnerabilidad ocurre cuando una llamada, reenviada por un reenviador de confianza, recupera la dirección del llamante real desde los calldata, que puede ser manipulada por un atacante. Aunque cada estándar funciona correctamente por sí solo, su uso combinado puede romper ciertas suposiciones y dar lugar a problemas de seguridad inesperados.

Razón de la Selección

Tanto los estándares ERC-2771 como Multicall están implementados en bibliotecas de desarrollo populares como OpenZeppelin y ThirdWeb. Los desarrolladores suelen depositar su confianza en estas bases de código bien establecidas y pueden pasarlas por alto durante las auditorías de código. Esta omisión puede introducir nuevas vulnerabilidades de seguridad, incluso si los módulos individuales no son inherentemente defectuosos. Las bibliotecas de terceros juegan un papel crucial en la seguridad del software, un hecho que a menudo se pasa por alto.

🧐 Conoce la causa raíz y los pasos del ataque en detalle.

Conclusión

En esta publicación del blog, hemos resumido diez incidentes de seguridad significativos de 2023. Como dice la frase frecuentemente citada, *"Lo que aprendemos de la historia es que no aprendemos de la historia." Esto sigue siendo dolorosamente relevante, especialmente en el contexto de los incidentes de seguridad. Esperamos que este blog, junto con las entradas posteriores, permita a la comunidad aprender de manera más efectiva de los incidentes pasados y prevenir errores similares en el próximo año.

Como proveedor integral de servicios de seguridad, BlockSec siempre tiene como objetivo asistir a la comunidad. El enfoque de BlockSec hacia la seguridad de los protocolos DeFi es integral. Empleamos técnicas de auditoría de vanguardia, herramientas automatizadas de defensa contra ataques y gestión de incidentes de seguridad. Esto nos posiciona como un socio vital para los protocolos que buscan fortalecer su postura de seguridad y proteger los activos de los usuarios frente a las amenazas en evolución en el panorama DeFi de 2024.

Permanece atento a más blogs en esta serie.

Lee otros artículos de esta serie:

Sign up for the latest updates
Boletín informativo - Marzo 2026
Security Insights

Boletín informativo - Marzo 2026

En marzo de 2026, el ecosistema DeFi sufrió tres incidentes de seguridad: Resolv Protocol perdió ~$80M por claves comprometidas, BitcoinReserveOffering ~$2.7M por doble acuñación, y Venus Protocol ~$2.15M por ataque de donación y manipulación de mercado.

Informe de Delitos Cripto 2025: Tendencias Clave y Datos On-Chain
Security Insights

Informe de Delitos Cripto 2025: Tendencias Clave y Datos On-Chain

Informe de 67 páginas basado en análisis de datos y evidencia en cadena. Incluye casos reales, mostrando el panorama del crimen cripto en 2025, sus características principales, estructura y tendencias.

#1 Incidente Cetus: Un Desplazamiento Sin Verificar Drena $223M en el Mayor Hackeo DeFi de 2025
Case Studies

#1 Incidente Cetus: Un Desplazamiento Sin Verificar Drena $223M en el Mayor Hackeo DeFi de 2025

El protocolo Cetus, el mayor DEX de liquidez concentrada en Sui, fue explotado el 22 de mayo de 2025, con pérdidas de ~$223M. El atacante aprovechó un fallo en checked_shlw(), donde una constante incorrecta permitió desplazamientos inseguros y truncación silenciosa, logrando posiciones de liquidez sobredimensionadas con depósitos mínimos.

Get Real-Time Protection with Phalcon Security

Audits alone are not enough. Phalcon Security detects attacks in real time and blocks threats mid-flight.

phalcon security