Puntos claves de la noticia:
- Truebit Protocol perdió $26M por un fallo en un contrato antiguo.
- TMXTribe perdió $1.4M en una explotación automatizada en 36 horas.
- Los datos de clientes de Ledger fueron filtrados por un tercero.
Los primeros días de 2026 revelaron múltiples brechas de seguridad en el ecosistema cripto. El informe Security Bytes de Extropy documenta incidentes que afectaron plataformas Web3 durante las dos primeras semanas del año. Los atacantes operaron sin pausa durante las festividades, causando pérdidas millonarias y campañas de phishing sofisticadas.
El 8 de enero, Truebit Protocol sufrió el robo de 26 millones de dólares. Un atacante explotó una falla en contratos inteligentes antiguos, aprovechando un desbordamiento de enteros. Estos códigos carecían de protecciones modernas de Solidity.
El atacante generó millones de tokens TRU gratuitos, drenó toda la liquidez del protocolo y colapsó el valor del token en 24 horas. Movió 8.535 ETH a través de Tornado Cash, vinculándose a un robo previo en Sparkle Protocol. Extropy advierte: los contratos obsoletos siguen siendo un riesgo si no se monitorean o desactivan.
Entre el 5 y 7 de enero, TMXTribe perdió 1,4 millones de dólares en 36 horas. La plataforma, un fork de GMX en Arbitrum, fue víctima de un bucle automatizado que acuñaba tokens LP, los intercambiaba por stablecoins y repetía el proceso. Los contratos no verificados impidieron identificar la falla exacta.
Los desarrolladores permanecieron activos en cadena durante el ataque, actualizando contratos pero sin activar la función de pausa de emergencia. Enviaron un mensaje de recompensa al ladrón, quien ignoró la oferta y lavó fondos mediante Tornado Cash. Extropy cuestiona la negligencia en protocolos sin código auditado.
Amenazas físicas y digitales convergen
El 5 de enero, Ledger confirmó una filtración de datos de clientes. Un procesador de pagos externo, Global-e, expuso nombres, direcciones y contactos. Extropy señala que esta información facilita los llamados «ataques con llave inglesa»: delincuentes pueden localizar físicamente a dueños de billeteras hardware.
La ironía resulta amarga: Ledger había sido criticado por cobrar por funciones de seguridad, pero ahora un tercero expone a usuarios sin costo alguno. La firma alerta sobre intentos de phishing personalizados usando estos datos.
