Alguien acaba de vaciar billeteras de Ethereum dormidas y olvidadas hace tiempo, y la causa podría remontarse a años atrás
Cientos de billeteras de Ethereum que habían permanecido intactas durante años fueron vaciadas hacia la misma dirección etiquetada, convirtiendo la antigua exposición de claves en la advertencia de seguridad cripto más contundente de esta semana.
El 30 de abr., WazzCrypto alertó sobre el incidente que afectaba a billeteras de la mainnet en X, y su advertencia se propagó rápidamente porque las cuentas afectadas no parecían ser hot wallets recién comprometidas. Eran billeteras antiguas con historiales tranquilos, algunas vinculadas a activos y herramientas de una época anterior de Ethereum.
Más de 260 ETH, aproximadamente $600,000, fueron drenados de cientos de billeteras inactivas. Más de 500 billeteras parecen estar afectadas, con pérdidas que totalizan aproximadamente $800,000, y muchas billeteras han estado inactivas durante cuatro a ocho años. La dirección relacionada en Etherscan está etiquetada como Fake_Phishing2831105, muestra 596 transacciones y registra un movimiento de 324.741 ETH hacia THORChain Router v4.1.1 alrededor del 30 de abr.
Lo constante entre ellas es lo más importante por ahora: las billeteras con largo tiempo de inactividad fueron movidas hacia un destino común, mientras que la vía de compromiso sigue sin resolverse.
Ese vector sin resolver convierte el vaciado en la advertencia más grave de esta semana, tras un aumento en los hackeos de DeFi. Los exploits de protocolos generalmente ofrecen a los investigadores un contrato, una llamada de función o una transacción privilegiada para inspeccionar.
Aquí, la pregunta central se sitúa en la capa de la billetera. ¿Alguien obtuvo antiguas frases de recuperación, descifró claves generadas débilmente, utilizó material de clave privada filtrado, abusó de una herramienta que alguna vez gestionó claves, o explotó otra vía que aún no ha salido a la luz?
La discusión pública ha generado teorías que incluyen entropía débil en herramientas de billetera heredadas, mnemonics comprometidos, manejo de claves en bots de trading y almacenamiento de seeds de la era LastPass. Un usuario afectado planteó personalmente la teoría de LastPass.
El consejo práctico para los usuarios es limitado pero urgente. La inactividad no mitiga el riesgo de la clave privada. Una billetera con valor depende del historial completo de la clave, la frase de recuperación, el dispositivo que la generó, el software que la tocó y cada lugar donde ese secreto pudo haber sido almacenado.
Para los usuarios, la respuesta probablemente sea hacer un inventario de las billeteras antiguas de alto valor, mover fondos solo después de generar nuevo material de clave a través de hardware de confianza o software de billetera moderno, y evitar ingresar seeds antiguas en verificadores, scripts o herramientas de recuperación desconocidas. Revocar aprobaciones ayuda para la exposición a protocolos, incluida la advertencia de usuarios de Wasabi, pero un vaciado directo de billetera apunta primero a la seguridad de las claves más que a las aprobaciones de tokens.
Abril amplió la superficie de control
El clúster de billeteras llegó en medio del recuento de exploits cripto de abril, que ya era elevado. Los informes vinculados a DefiLlama situaron abril en aproximadamente 28 a 30 incidentes y más de $625 millones en fondos robados. Al 1 de may., la API en vivo de DefiLlama mostraba 28 incidentes de abril por un total de $635,241,950.
Un hilo de mercado del 1 de may. capturó el punto de presión: los vaciados de billeteras de esta semana, el exploit de clave de administrador de Wasabi Protocol y las mayores pérdidas de DeFi de abril afectaron superficies de control que los usuarios ordinarios raramente inspeccionan. El vínculo a lo largo del mes es arquitectónico más que atribucional.
Las rutas de administrador se convirtieron en rutas de ataque
Wasabi Protocol proporciona el ejemplo de protocolo más claro y reciente. El exploit del 30 de abr. supuestamente drenó aproximadamente $4.5 millones a $5.5 millones después de que un atacante obtuvo autoridad de desplegador/administrador, otorgó ADMIN_ROLE a contratos controlados por el atacante y utilizó actualizaciones de proxy UUPS para vaciar vaults y pools en Ethereum, Base y Blast. Las primeras alertas de seguridad identificaron el patrón de admin-upgrade a medida que el ataque se desarrollaba.
La mecánica reportada coloca la gestión de claves en el centro del incidente. La capacidad de actualización puede ser una infraestructura de mantenimiento normal. La autoridad de actualización concentrada convierte esa ruta de mantenimiento en un objetivo de alto valor. Si un desplegador o cuenta privilegiada puede cambiar la lógica de implementación entre cadenas, el límite alrededor de un contrato auditado puede desvanecerse una vez que esa autoridad se ve comprometida.
Ese es el problema orientado al usuario oculto dentro de muchas interfaces DeFi. Un protocolo puede presentar contratos abiertos, frontends públicos y lenguaje de descentralización, mientras que el poder crítico de actualización sigue residiendo en un pequeño conjunto de claves operacionales.
Los firmantes y verificadores sufrieron las mayores pérdidas
Drift trasladó el mismo problema de control al flujo de trabajo de los firmantes. Chainalysis describió ingeniería social, transacciones de nonce duradero, colateral falso, manipulación de oráculos y una migración del Consejo de Seguridad 2-de-5 con timelock cero. Blockaid estimó la pérdida en aproximadamente $285 millones y argumentó que la simulación de transacciones y políticas más estrictas de co-firmantes podrían haber cambiado el resultado.
El caso Drift importa aquí porque la ruta no dependió de un simple error en una función pública. Dependió de un flujo de trabajo donde firmas válidas y maquinaria de gobernanza rápida podían ser orientadas hacia una migración hostil. Un proceso de firmante se convirtió en la superficie de control.
KelpDAO trasladó la prueba de estrés a la verificación cross-chain. El comunicado del incidente describió una configuración de puente en la que la ruta rsETH utilizaba LayerZero Labs como el único verificador DVN. Las revisiones forenses describieron nodos RPC comprometidos y presión DDoS que alimentaba datos falsos a una ruta de verificación de punto único.
El resultado, según Chainalysis, fue la liberación de 116,500 rsETH, con un valor aproximado de $292 millones, contra una quema inexistente. El contrato del token podía permanecer intacto mientras el puente aceptaba una premisa falsa. Por eso un fallo del verificador puede convertirse en un problema de estructura de mercado una vez que el activo puenteado se encuentra dentro de mercados de préstamos y pools de liquidez.
La IA pertenece a la discusión sobre velocidad
Creo que el Proyecto Glasswing merece una mención especial aquí para dar contexto, separado de la causalidad. Anthropic dice que Claude Mythos Preview encontró miles de vulnerabilidades de software de alta gravedad y muestra cómo la IA puede comprimir el descubrimiento de vulnerabilidades. Eso eleva el listón para los defensores, pero el registro causal en estos incidentes cripto apunta a claves, firmantes, poderes de administrador, verificación de puentes, dependencias de RPC y exposición de billeteras sin resolver.
Las implicaciones de seguridad siguen siendo graves. Un descubrimiento más rápido da a atacantes y defensores más superficie paralela para trabajar. También hace que los atajos operacionales antiguos sean más costosos porque los secretos dormidos, las claves privilegiadas y las rutas de verificador único pueden probarse más rápido de lo que los equipos pueden revisarlos manualmente.
La lista de reparaciones es operacional
Los controles que se derivan de abril se sitúan por encima y alrededor del código base.
| Incidente | Punto de control oculto | Modo de fallo | Control práctico |
|---|---|---|---|
| Billeteras de Ethereum inactivas | Material antiguo de billetera | Fondos movidos desde billeteras con largo tiempo de inactividad hacia una dirección etiquetada mientras el vector sigue sin resolverse | Generación de nuevas claves para fondos inactivos valiosos, migración cautelosa y no introducir seeds en herramientas desconocidas |
| Wasabi | Autoridad de administrador y actualización | Las concesiones de roles privilegiados y las actualizaciones UUPS habilitaron el vaciado de vaults y pools | Rotación de claves, umbrales más sólidos, poderes de administrador acotados, timelocks y monitoreo independiente de acciones de actualización |
| Drift | Flujo de trabajo del firmante del Consejo de Seguridad | Las transacciones de nonce duradero pre-firmadas y la gobernanza con retraso cero habilitaron una toma de control de administrador rápida | Umbrales más altos, ventanas de retraso, simulación de transacciones y co-firma aplicada por política |
| KelpDAO | Ruta de verificación del puente | El envenenamiento de RPC y una ruta DVN de 1-de-1 permitieron que pasara un mensaje cross-chain falso | Verificación multi-DVN, monitoreo de invariantes cross-chain y verificaciones independientes fuera de la misma ruta de verificación |
Para los protocolos, la prioridad es reducir lo que cualquier autoridad única puede hacer a la vez. Eso significa timelocks en operaciones de administrador, umbrales de firmantes más sólidos y estables, colas de transacciones privilegiadas monitoreadas, límites explícitos en cambios de parámetros y sistemas de co-firma que simulen los efectos de las transacciones antes de que los humanos las aprueben.
Para los puentes, la prioridad es la verificación independiente y las comprobaciones de invariantes. Un mensaje cross-chain debe verificarse contra el hecho económico que afirma representar. Si rsETH sale de un lado, el sistema debe verificar el cambio de estado correspondiente en el otro lado antes de que el lado de destino libere valor. Ese monitoreo debe existir fuera de la misma ruta que firma el mensaje.
Para los usuarios, la lista de reparaciones es más pequeña. Mueva fondos antiguos valiosos a claves nuevas a través de un proceso en el que ya confíe. Separe esa acción de la limpieza de aprobaciones específicas del protocolo. Trate cada afirmación sobre la causa raíz del vaciado de billetera como provisional hasta que el trabajo forense identifique una herramienta común, ruta de almacenamiento o fuente de exposición.
La próxima prueba
Abril demostró que la lista de verificación de seguridad del usuario promedio probablemente está incompleta. Las auditorías, los contratos públicos y las interfaces descentralizadas pueden coexistir con autoridad de administrador concentrada, procedimientos débiles de firmantes, verificación de puentes frágil y secretos antiguos de billeteras.
El próximo trimestre recompensará las pruebas sobre el lenguaje de descentralización: poderes de actualización restringidos, timelocks visibles, rutas de verificación independientes, simulación de transacciones para acciones privilegiadas, controles de acceso disciplinados y rotación de claves documentada.
Los vaciados de billeteras inactivas muestran la incómoda versión del lado del usuario del mismo problema. Un sistema puede parecer tranquilo mientras un antiguo fallo de control espera en segundo plano. La ola de exploits de abril expuso esa capa por encima del código; la próxima fase mostrará qué equipos la tratan como seguridad central antes de que los fondos se muevan.
El post Alguien acaba de vaciar billeteras de Ethereum inactivas y olvidadas, y la causa podría remontarse años atrás apareció primero en CryptoSlate.
También te puede interesar
Previsión de la próxima semana: Las nóminas no agrícolas y las conversaciones de paz entre EE. UU. e Irán sacuden al DXY mientras toca mínimos de dos semanas
Las acciones de Spirit Airlines (FLYYQ) se desploman un 65% tras el fracaso del rescate financiero que desencadena un posible cierre
