Ataque de piratas informáticos a principios de año causó pérdidas de 1,5 millones de dólares, crisis de seguridad en contrato proxy de ARB Network revelada

ARB Network en enero de este año sufrió un grave incidente de seguridad en contratos inteligentes. Según datos de la empresa de seguridad CyversS, este ataque causó una pérdida económica directa de 1.5 millones de dólares. El incidente involucró los contratos actualizables de los proyectos USDGambit y TLP, y la técnica de ataque implicó manipulación maliciosa de la estructura de permisos de ProxyAdmin, lo que finalmente llevó al robo de una gran cantidad de fondos. Este evento volvió a poner de manifiesto las graves vulnerabilidades en la gobernanza de contratos proxy en el ecosistema L2.

Robo preciso de 1.5 millones de dólares: cómo los hackers manipularon los contratos actualizables

Según análisis forenses en la cadena, los atacantes lograron tomar el control de TransparentUpgradeableProxy desplegando contratos personalizados. Específicamente, la dirección del hacker «0x763…12661» realizó una serie de operaciones en el contrato proxy, y finalmente transfirió un total de 1.5 millones de dólares en USDT desde la dirección víctima «0x67a…e1cb4».

La clave de este ataque fue el secuestro del nivel de gobernanza de ProxyAdmin. En la arquitectura de contratos actualizables, ProxyAdmin controla los permisos para actualizar los contratos lógicos, siendo el núcleo del sistema. Los atacantes aprovecharon una vulnerabilidad en la gestión de permisos del desplegador, logrando eludir las restricciones de acceso habituales y realizar transferencias de fondos no autorizadas. Tras el ataque, la víctima no se percató de nada hasta que los fondos ya estaban cruzando diferentes cadenas de bloques.

Rutas de ocultamiento de fondos: transferencia de Arbitrum a protocolos de mezcla

Tras robar 1.5 millones de dólares, los atacantes no mantuvieron los fondos directamente, sino que realizaron una serie de operaciones para ocultar sus rastros. Primero, los hackers cruzaron los fondos USDT a la cadena de Ethereum mediante puentes de cadena cruzada, y luego depositaron los fondos en Tornado Cash, un conocido protocolo de privacidad descentralizado. Gracias al mecanismo de mezcla de Tornado Cash, el flujo de fondos quedó completamente enmascarado, dificultando mucho que las víctimas recuperaran sus fondos.

Esta serie de operaciones demuestra la profesionalidad y la planificación previa de los atacantes. Desde ataques técnicos en contratos inteligentes, pasando por transferencias entre cadenas, hasta el uso de protocolos de privacidad para confundir los fondos, todo el proceso conforma una cadena delictiva completa que dificulta a las autoridades y a los actores del ecosistema rastrear y congelar estos fondos.

Vulnerabilidades en la gobernanza de contratos proxy: riesgos comunes en infraestructura DeFi

El problema revelado en este incidente va mucho más allá de un solo proyecto. En todo el ecosistema DeFi, los contratos actualizables se han convertido en una configuración estándar, pero la mayoría de los proyectos presentan graves vulnerabilidades en la gestión de permisos de ProxyAdmin. El control de permisos centralizado implica que una falla en un solo punto puede causar pérdidas millonarias, como se evidenció en esta pérdida de 1.5 millones de dólares.

Es importante tener en cuenta que vectores de ataque similares no son nuevos, pero aún son ignorados por muchos proyectos. Algunos no protegen adecuadamente las claves del desplegador, o no implementan mecanismos de multisig en el proceso de actualización de contratos, lo que brinda oportunidades a los hackers. Este incidente ha lanzado una advertencia a todo el ecosistema: una gobernanza robusta, validaciones multisig y mecanismos de bloqueo temporal ya no son opcionales, sino imprescindibles.