El ataque afectó wallets multifirma usadas en DeFi y volvió a exponer los riesgos de integrar módulos externos con permisos críticos
27.05.2026 • 08:38hs • MUNDO CRIPTO
MUNDO CRIPTO
Vaciaron 86 wallets de Ethereum en dos horas sin acceder a claves privadas: cómo lo hicieron
:quality(75):max_bytes(102400)/https://assets.iproup.com/assets/jpg/2025/12/45464.jpg)
Un ataque relámpago volvió a encender las alarmas sobre la seguridad en el ecosistema cripto. Un exploit detectado por la firma de ciberseguridad Blockaid drenó cerca de u$s3 millones de 86 wallets en menos de dos horas en las redes de Ethereum y Base.
Los atacantes no accedieron a las claves privadas de las víctimas, sino que explotaron una vulnerabilidad en un módulo externo integrado a las wallets.
Las cuentas afectadas utilizaban infraestructura de Safe, una de las soluciones multifirma más usadas por protocolos DeFi, fondos y organizaciones que manejan tesorerías cripto.
Según explicó Blockaid, el exploit habría aprovechado una falla en una función utilizada para ejecutar intercambios dentro de la misma red.
De esa manera, el atacante logró actuar como si fuera un operador autorizado y ejecutar transacciones válidas sin necesidad de vulnerar las credenciales de los usuarios.
El mecanismo fue sofisticado pero efectivo y se desarrolló en solo dos horas:
- El atacante desplegó contratos maliciosos
- Ordenó intercambios desde las wallets comprometidas
- Los fondos reales fueron cambiados por un token sin valor creado por el propio hacker
- La operatoria se apoyó en pools de liquidez armados previamente en Uniswap V3
- Después del swap, retiró la liquidez y consolidó el botín en unos u$s3,07 millones en DAI
El ataque dejó una advertencia clara para el mundo cripto: tener una wallet multifirma ya no garantiza estar protegido.
Hasta ahora, la principal preocupación era cuidar las claves privadas. Pero en el ecosistema DeFi el riesgo también pasa por las integraciones y módulos externos que se conectan a la wallet.
Cada herramienta extra suma funciones, aunque también puede convertirse en una puerta de entrada para un atacante.
Rahul Rumalla, CEO de Safe, aclaró en X que las wallets afectadas no utilizaban el producto oficial de Safe Wallet. También señaló que el módulo involucrado ya había sido marcado previamente como riesgoso dentro de Safe Shield, el sistema de alertas de seguridad de la compañía.
