Un usuario del protocolo Alchemix perdió aproximadamente 1 millón de dólares en tokens que generan rendimiento después de que un atacante explotara un contrato malicioso previamente aprobado, según la firma de seguridad on-chain PeckShield, que identificó primero el incidente. El ataque, que tuvo como objetivo la posición yvWETH del usuario, sirve como un recordatorio costoso de los riesgos de seguridad asociados con las aprobaciones de tokens en las finanzas descentralizadas (DeFi).
"El hackeo fue posible porque el usuario había pre-aprobado un contrato malicioso (0x143a)", dijeron los analistas de PeckShield en una publicación en X. "Este contrato contenía una vulnerabilidad de ejecución de llamadas arbitrarias, que el atacante utilizó para transferir la posición completa del usuario".
La vulnerabilidad no residía en los protocolos Alchemix o Yearn Finance en sí, sino en la interacción del usuario con un contrato malicioso independiente. Al otorgar a ese contrato una aprobación para gastar sus tokens, el usuario creó una brecha de seguridad que el atacante explotó posteriormente para drenar los fondos. Tales exploits se han convertido en un tema recurrente en DeFi, donde los usuarios a menudo otorgan permisos amplios para interactuar con diversas aplicaciones.
Este incidente subraya un desafío de seguridad crítico por parte del usuario que va más allá de las auditorías de código de los principales protocolos. Si bien gran parte del enfoque en la seguridad cripto está en los exploits a nivel de protocolo o los ataques físicos, la fuente más grande y constante de pérdidas a menudo proviene de la higiene de la billetera y el error del usuario, incluidos el phishing y las aprobaciones obsoletas.
Las aprobaciones de tokens siguen siendo un problema de 700 millones de dólares
Las aprobaciones de tokens son una parte fundamental de DeFi en cadenas como Ethereum, permitiendo que los contratos inteligentes interactúen con los activos de un usuario para actividades como intercambio, staking o préstamos. Sin embargo, si una aprobación no se revoca, permanece activa indefinidamente, creando un permiso permanente que un contrato malicioso o comprometido puede usar. Desconectar una billetera del front-end de una dApp no revoca estos permisos on-chain.
Según un informe de 2025 de la firma de seguridad CertiK, los ataques de phishing (una categoría que incluye aprobaciones maliciosas) representaron casi 723 millones de dólares en pérdidas. El incidente de Alchemix es un ejemplo directo de este vector de riesgo. Resalta la necesidad de una gestión diligente de la billetera, una práctica que a menudo pasan por alto los usuarios centrados en el yield farming o el trading.
Las mejores prácticas de seguridad sugieren un enfoque de múltiples billeteras: una para almacenamiento a largo plazo que rara vez interactúa con dApps, una "billetera caliente" separada para la actividad diaria y una tercera billetera experimental para aplicaciones nuevas o no confiables. Además, los usuarios deben utilizar regularmente herramientas para revisar y revocar cualquier aprobación activa de contratos que ya no utilicen.
Conclusión
La pérdida de 1 millón de dólares relacionada con Alchemix es una ilustración cruda de cómo las prácticas de seguridad individuales son tan cruciales como la seguridad a nivel de protocolo. El incidente no fue un hackeo a Alchemix en sí, sino un ataque dirigido a un solo usuario que había otorgado permiso a un actor malicioso. Refuerza la necesidad de una vigilancia constante del usuario. Antes de firmar cualquier transacción, los usuarios deben verificar la dirección del contrato, comprender los permisos que se otorgan y adoptar una rutina de revocar aprobaciones para minimizar su superficie de riesgo on-chain.
Este artículo es solo para fines informativos y no constituye asesoramiento de inversión.
