Incidentes de Seguridad en el Ecosistema Cripto
El fundador de deBridge, Alex Smirnov, ha solicitado a los validadores que detengan las transacciones hasta que se implemente un plan de remediación para los usuarios afectados. Por su parte, Trust Wallet confirmó que un código malicioso incrustado en su extensión de Chrome resultó en el robo de aproximadamente $7 millones en activos a través de múltiples blockchains, lo que llevó al proveedor de billeteras a lanzar un proceso formal de compensación. Changpeng Zhao, fundador de Binance, aseguró que todas las pérdidas serán cubiertas.
Solicitud de Remediación y Reacción del Mercado
Alex Smirnov, fundador del proveedor de puentes entre cadenas de bloques de deBridge, instó públicamente a los validadores en la blockchain de Flow a detener el procesamiento de transacciones hasta que se establezca un plan de remediación claro para los usuarios afectados por la controvertida propuesta de reversión de la red. Esta solicitud se realizó tras una explotación de $3.9 millones que ocurrió el 27 de diciembre, cuando un atacante aprovechó una vulnerabilidad en la capa de ejecución de Flow y drenó fondos de la red a través de múltiples puentes entre cadenas.
El plan de reversión se introdujo como una respuesta de emergencia a la explotación, pero generó una preocupación generalizada en todo el ecosistema de Flow. Smirnov advirtió que la reversión creó confusión en torno a los saldos de los usuarios, especialmente para aquellos que trasladaron activos fuera de Flow durante la ventana afectada y ahora enfrentan la posibilidad de saldos duplicados o desajustados. Como uno de los principales proveedores de puentes de Flow, deBridge estuvo directamente expuesto a estas inconsistencias, lo que llevó a Smirnov a solicitar una mejor transparencia y coordinación por parte de la Fundación Flow. A pesar de su llamado, los validadores de Flow aún no han podido responder.
Los datos de la blockchain muestran que Flow permaneció estancado en la altura de bloque 137,385,824 desde la noche del sábado, incluso cuando la Fundación Flow indicó que se esperaba que la red reiniciara en un plazo de cuatro a seis horas. Hasta ahora, la reacción del mercado ha sido severa: el token FLOW ha caído aproximadamente un 42% desde la explotación, según datos de CoinCodex.
Controversias y Críticas
La controversia se complicó aún más por mensajes contradictorios de los actores del ecosistema. En octubre, Dapper Labs—el creador de Flow—anunció que un plan de recuperación revisado eliminaría la necesidad de una reversión por completo, preservando la actividad legítima de los usuarios mientras se restauraban las operaciones de la red. Sin embargo, los críticos argumentan que el daño a la confianza ya se había hecho. Smirnov describió la decisión de reversión como apresurada y afirmó que los socios del ecosistema no fueron notificados adecuadamente, advirtiendo que las reversiones pueden causar problemas en cascada para puentes, custodios, intercambios y usuarios que actuaron de buena fe.
Gabriel Shapiro, abogado general de Delphi Labs, criticó el enfoque de Flow, sugiriendo que efectivamente crea activos no respaldados y traslada la carga de mitigación a puentes y emisores. Mientras Dapper Labs ha insistido en que ningún saldo de usuario—incluyendo su propio tesoro—fue afectado, el escepticismo persiste. Flow, que alguna vez atrajo mucho respaldo, incluso asegurando $725 millones en financiamiento de firmas como Andreessen Horowitz y Union Square Ventures, ahora tiene solo $85.5 millones en valor total bloqueado, y FLOW ha caído fuera de las 300 principales criptomonedas por capitalización de mercado.
Compensación por el Robo en Trust Wallet
Otra empresa relacionada con criptomonedas también está tratando de recuperarse tras una reciente explotación. Trust Wallet anunció el lanzamiento de un proceso formal de compensación para los usuarios afectados por un incidente de seguridad que involucró su extensión de navegador Chrome, tras el descubrimiento de un código malicioso en la versión 2.68 del software. El problema fue identificado dos días antes del anuncio, después de que surgieron informes de que los fondos de los usuarios estaban siendo drenados poco después de una actualización lanzada el 24 de diciembre. Los usuarios afectados ahora pueden presentar reclamaciones a través de un formulario de soporte oficial alojado en el sitio web de Trust Wallet.
El proceso de reclamaciones requiere que los usuarios proporcionen detalles que incluyen su dirección de correo electrónico, país de residencia, direcciones de billetera comprometidas, las direcciones de recepción del atacante y los hashes de transacción relevantes. Trust Wallet ha afirmado su compromiso de compensar a todos los usuarios afectados por el incidente. Según la compañía, aproximadamente $7 millones en activos digitales fueron robados a través de múltiples blockchains, incluyendo Bitcoin, Ethereum y Solana. La firma de seguridad blockchain PeckShield informó que más de $4 millones de los fondos robados ya habían sido canalizados a través de intercambios centralizados como ChangeNOW, FixedFloat y KuCoin.
Changpeng Zhao, fundador de Binance, que adquirió Trust Wallet en 2018, confirmó públicamente que todas las pérdidas serían cubiertas, asegurando que los fondos de los usuarios permanecen «SAFU«. El incidente fue señalado públicamente por primera vez el día de Navidad por el investigador en cadena ZachXBT, quien advirtió que múltiples usuarios de Trust Wallet estaban reportando saldos drenados poco después de la actualización de la extensión de Chrome. Trust Wallet emitió una solución en la versión 2.69 el 25 de diciembre. La CEO Eowyn Chen explicó más tarde que los usuarios que accedieron a la extensión antes del 26 de diciembre a las 11 a.m. UTC podrían haber sido afectados. La investigación de la compañía determinó que se utilizó una clave API filtrada de Chrome Web Store para publicar la extensión comprometida, eludiendo los controles internos de lanzamiento. La firma de seguridad SlowMist encontró que el código malicioso recolectaba frases semilla de billetera utilizando una biblioteca de análisis de código abierto modificada. Trust Wallet confirmó que los usuarios de la aplicación móvil y los usuarios de otras extensiones de navegador no fueron afectados.
