¡Última hora! Otro protocolo DeFi ha sido completamente vaciado, ¡23 millones de dólares se han esfumado! El hacker solo hizo una cosa: robó una llave.

¡Hermano, volvió a explotar! Hace unos días, un protocolo DeFi llamado Resolv, en cuestión de minutos, fue completamente vaciado por alguien que imprimió 80 millones de dólares de la nada y luego se llevó casi 25 millones de ETH. Ahora, el precio del stablecoin USR cayó de 1 dólar a 20 centavos, ¡una caída brutal! ¿Crees que fue un gran fallo en el contrato inteligente? No. El código funcionaba perfectamente, igual que en el diseño. ¿Dónde estuvo el problema? Puede que no lo creas, pero fue una sola llave. Una llave de firma almacenada en un servidor en la nube fue robada. Así de simple. Esto es como si tuvieras 18 puertas de seguridad en tu casa, pero el ladrón entrara por la ventana y encontrara la llave de tu caja fuerte colgada en la pared. Esta operación es una lección de seguridad brutal para todos los proyectos DeFi. ¿Crees que estás jugando con blockchain, que el código es la ley? ¡Demasiado joven, demasiado simple! En realidad, estás jugando a “la seguridad del proveedor de servicios en la nube” y “el curso 101 de gestión de claves privadas”. ¿Cómo lo hicieron los hackers? Mejor ni decirlo, da vergüenza. Primer paso, entraron en los servicios en la nube de Amazon AWS que usaba Resolv y encontraron la “llave privilegiada” que permitía imprimir dinero. Segundo paso, con esa llave, depositaron unos 100,000 a 200,000 USDC en el protocolo y, con un simple clic, firmaron para imprimir 50 millones de USR. Luego, firmaron otro, para imprimir otros 30 millones. La cadena de contratos vio que la firma era válida y que el jefe había aprobado, así que imprimieron. ¿Qué pasa con las garantías, los oráculos de precios, los límites de emisión? Nada de eso. El contrato solo reconoce la firma, no los números. 80 millones de dólares, así, de la nada. Preguntarás, ¿si imprimen tanto, no lo venden en el pool y se acaba en un instante? Los hackers son astutos. Tercer paso, cambiaron todos esos USR por un derivado llamado wstUSR, que tiene menor liquidez y no se expone tan rápido. Finalmente, lentamente, cambiaron a varias stablecoins y luego a ETH, usando DEX y puentes cross-chain para lavar el dinero. Ahora, ese hacker todavía tiene más de 10,000 ETH en su wallet, valorados en 24 millones de dólares, ¡feliz! ¿Y los pequeños que tenían USR? Mirando cómo de repente aparecen 80 millones más en el pool, el precio se desplomó y perdieron el 80%. Los desarrolladores tuvieron que pausar todo, pero el dinero ya no estaba. ¡Qué ironía! Se dice que Resolv pasó por 18 auditorías de seguridad. ¡18 veces! La factura de esas auditorías podría haber comprado un coche deportivo. Pero solo protegieron el código, no la seguridad del servidor en la nube. Esto nos enseña qué? En el mundo DeFi, por muy bonito que sea tu código y por muchas auditorías que tengas, si hay un eslabón débil fuera de la cadena, como un servidor, una clave de gestión o un servicio de terceros, todo el sistema es papel maché. Los hackers ya no enfrentan directamente el código, sino que atacan esas vulnerabilidades blandas. En minutos, millones en la calle. Cuando te des cuenta, ya es demasiado tarde. Algunos análisis indican que estas catástrofes podrían evitarse. Por ejemplo, con monitoreo en tiempo real que detecte operaciones absurdas como “depositar 100,000 y querer imprimir 50 millones”, y que automáticamente pause el contrato o envíe alertas. O agregar confirmaciones en cadena para las operaciones clave de los administradores. Pero, ¿de qué sirve decirlo ahora? Es tarde. El proyecto está detenido, el precio colapsó y los hackers se ríen. Solo nos quedan preguntas: ¿Cuántos proyectos todavía dependen de una sola llave en la nube para controlar todo? ¿Estamos estudiando mal? ¿Quizá el mayor riesgo no está en la cadena, sino en esos servidores invisibles y desconocidos en los data centers? Ya de noche, mirando esa línea de precio del stablecoin desconectado, me pregunto: ¿quién será el próximo en ser vaciado con una sola llave?