Foto: solarseven/Shutterstock
Los proyectos de criptomonedas siguen siendo objetivo habitual de los hackers. En total, las empresas del sector de las criptomonedas ya perdieron la cifra récord de $1.640 millones de dólares en el primer trimestre de 2025 debido a ciberataques.
Esta vez, un hackeo incluso provocó el colapso total de un criptoproyecto. El 30 de marzo, el protocolo de finanzas descentralizadas (DeFi) SIR.trading se vio afectado.
Debido a un ciberataque, se perdió el valor total bloqueado (TVL) del proyecto. Se robaron 355.000 dólares, equivalentes a 328.000 euros.
Los hackers atacan SIR.trading
Synthetics Implemented Right (SIR) es un protocolo DeFi en la red Ethereum (ETH). Los criptooperadores lo conocen como SIR.trading. Este protocolo está diseñado para hacer frente a los mayores retos del trading con apalancamiento, como la volatilidad del mercado de criptomonedas y el riesgo de liquidación.
El 30 de marzo, las empresas de seguridad de blockchain Decurity y TenArmor Alert descubrieron que los hackers habían atacado SIR.trading. Sin embargo, sus alertas llegaron demasiado tarde. Debido al ataque, el protocolo perdió toda su TVL de 355.000 dólares. El fundador Xatarrar reacciona derrotado:
«Recibimos la peor noticia que puede recibir un protocolo: nos hackearon y perdimos toda nuestra TVL (355.000 dólares).
No quiero tirar la toalla porque realmente creo en SIR».
So we go the worst news a protocol could received and got hacked for our entire TVL ($355k).
I (@Xatarrer) would like to not throw the towel here as I truly believe in SIR.
If you also believe in the core protocol and have any idea on how to proceed forward, please DM. https://t.co/FD6QxwfXP4
— SIR.trading (🦍^🎩) (@leveragesir) March 30, 2025
Según Decurity, los hackers atacaron la función de devolución de llamada dentro de la bóveda vulnerable del protocolo. La bóveda es una cámara acorazada digital que utiliza un sistema automatizado para mover criptomonedas.
El sistema funciona con una función que comprueba si el dinero digital acaba en el lugar correcto, como un criptointercambio.
Los hackers sustituyeron la dirección de un fondo común de Uniswap por su propia dirección de cartera. Utilizaron la función de devolución de llamada varias veces para transferir todos los fondos. Es un gran revés para SIR.trading.
La función de almacenamiento temporal es vulnerable
El ataque a SIR.trading es otro golpe al mercado de criptomonedas, que se enfrenta a una oleada de ciberdelincuencia. Un investigador de la empresa de seguridad blockchain Supremacy profundizó en el aspecto técnico del hackeo.
Según él, este hackeo demuestra que la función de almacenamiento temporal de la red Ethereum puede no ser 100% segura.
El almacenamiento temporal procede de la actualización «Dencun» de 2023. Esta nueva función almacena datos durante un breve periodo de tiempo. Sin embargo, el reciente hackeo demuestra que puede tener vulnerabilidades.
En su lanzamiento, SIR.trading se denominó «un nuevo protocolo DeFi para un comercio de apalancamiento más seguro». Los creadores del protocolo se mostraban muy confiados al respecto. Sin embargo, advirtieron en un documento de las posibles vulnerabilidades del sistema. Con ello se refieren, entre otras cosas, a las bóvedas (vaults) dentro del sistema:
«Errores no detectados o exploits en los contratos inteligentes de SIR pueden conducir a la pérdida de fondos. Esto proviene de complejidades en los mecanismos de bóveda o cálculos de apalancamiento que las auditorías no notaron.
Esto expone a los usuarios a errores raros pero críticos».
¿Dónde están los fondos robados?
TenArmorSecurity está siguiendo de cerca los fondos robados. Los fondos se encuentran actualmente en una dirección de Railgun, una herramienta de privacidad en la blockchain de Ethereum.
El fundador de SIR.trading no se libra y quiere seguir con el protocolo. Desde entonces se ha puesto en contacto con Railgun con la esperanza de recuperar (parte de) el cripto robado.
El protocolo DeFi es otra víctima más de un pirateo de criptomonedas. El pasado mes de febrero, el mundo de las criptomonedas se vio sacudido por el hackeo de ByBit. Se perdieron 1.300 millones de dólares en el mayor hackeo de criptomonedas de todos los tiempos.
