1,4 millones de dólares desaparecidos en una noche: cómo los contratos no verificados se convierten en la máquina de efectivo automática de los hackers

La plataforma de intercambio descentralizada TMX en la red Arbitrum sufrió un ataque de hackers en un contrato no verificado, con una pérdida aproximada de 1.4 millones de dólares. Según los datos de monitoreo de CertiK, los hackers mediante operaciones repetidas cuidadosamente diseñadas agotaron sistemáticamente los activos en USDT, wrapped SOL y WETH del contrato. Este incidente vuelve a poner de manifiesto un riesgo severamente subestimado en el ecosistema DeFi: los contratos no auditados son como cajas fuertes sin llave, esperando ser forzadas.

Cómo lo lograron los hackers

La técnica de ataque de los hackers no es compleja, pero sí sorprendentemente eficiente:

• Crear tokens LP de TMX emparejados con USDT
• Intercambiar USDT por USDG
• Deshacer el staking de los LP de TMX
• Vender USDG para obtener más activos
• Repetir el ciclo varias veces

Este “ciclo de arbitraje” tiene éxito porque la lógica del contrato presenta vulnerabilidades: los hackers descubrieron diferencias de precio o fallos en los mecanismos de intercambio que podían explotarse repetidamente. Con múltiples repeticiones, lograron absorber toda la liquidez del contrato.

Por qué se habla de “contratos no verificados”

Aquí, “no verificado” es una palabra clave. Significa:

Según las últimas noticias, muchos nuevos proyectos saltan la etapa de auditoría para lanzar rápidamente. Aunque esto parece ahorrar costes, en realidad es una apuesta a la probabilidad: apostar a que nadie encontrará vulnerabilidades. Y los hackers precisamente son quienes revisan minuciosamente.

Qué nos enseña este caso

A simple vista, parece que TMX ha sufrido una pérdida. Pero el problema más profundo es:

La falta de conciencia de protección de los usuarios de DeFi

Muchos participan en minería de liquidez o trading sin verificar si los contratos han sido auditados. En cambio, un motivo clave por el cual el proyecto Mutuum Finance logró atraer a más de 18,600 holders es que completó auditorías de seguridad doble por Halborn y CertiK. Esto crea un contraste claro.

Deficiencias en la gestión de riesgos del proyecto

Lanzar un contrato no verificado ya es una señal de alerta. Si fuera un proyecto serio, debería realizar una auditoría completa inmediatamente después de lanzar la funcionalidad, no esperar a que surjan problemas para remediar.

La reducción de costes para los hackers

Cada ataque exitoso acumula más “técnicas”. El próximo contrato no verificado podría enfrentarse a riesgos similares.

Qué seguir de cerca

• ¿Emitirá el equipo de TMX un comunicado oficial y un plan de compensación?
• ¿Fortalecerá la red Arbitrum las advertencias de riesgo para nuevos contratos?
• ¿Serán rastreados y congelados los 1.4 millones de dólares robados?
• ¿Cuántos contratos no verificados más están en riesgo?

Resumen

La lección principal de este incidente es sencilla: en DeFi, la verificación de contratos no es opcional, sino imprescindible. Si un proyecto lanza sin una auditoría de seguridad formal, cada fondo involucrado está apostando a la calidad del código del equipo. Y precisamente, los hackers son los “auditores de código” más meticulosos.

Para los usuarios, antes de participar en cualquier proyecto DeFi, es recomendable consultar en Etherscan si el contrato cuenta con informes de auditoría de instituciones como CertiK o OpenZeppelin. Este paso, que no requiere conocimientos técnicos avanzados, puede reducir significativamente el riesgo. Para los proyectos, el coste de una auditoría es mucho menor que el coste de ser atacado: 1.4 millones de dólares es la mejor lección.