Analiza el ataque de suplantación de DNS que afectó a Aerodrome en la red Base. Explora cómo las vulnerabilidades del frontend ponen en riesgo los activos cripto, conoce testimonios de usuarios que enfrentaron intentos de phishing y aplica las mejores prácticas de seguridad DeFi para salvaguardar tus activos digitales frente a brechas avanzadas.
Secuestro de DNS obliga a bloqueo de emergencia del protocolo
Aerodrome Finance, el principal exchange descentralizado (DEX) en la cadena Base, se enfrentó recientemente a un sofisticado ataque de secuestro de DNS que comprometió su infraestructura de dominios centralizados. Esta brecha expuso a los usuarios a intentos de phishing dirigidos específicamente a NFT, ETH y USDC mediante solicitudes de firma maliciosas integradas en la interfaz comprometida.
La investigación del incidente comenzó cuando el equipo técnico de Aerodrome detectó actividad inusual en su infraestructura de dominio principal aproximadamente seis horas antes de emitir alertas públicas a la comunidad. Esta detección temprana fue clave para reducir el daño potencial, ya que permitió aplicar medidas de respuesta de emergencia antes de que el ataque llegara a su punto álgido.
Al reconocer la gravedad de la situación, el protocolo señaló de inmediato a su proveedor de dominios, Box Domains, como potencialmente comprometido y solicitó una investigación y respuesta urgente. El secuestro de DNS es uno de los vectores de ataque más peligrosos en el entorno DeFi, ya que permite a los atacantes redirigir a usuarios legítimos a sitios web maliciosos sin que estos lo perciban, eludiendo muchas de las medidas de seguridad tradicionales.
Pocas horas después de la detección inicial, el equipo confirmó que ambos dominios centralizados (con extensiones .finance y .box) habían sido secuestrados y continuaban bajo control de los atacantes. Esta doble intervención evidenciaba un ataque sistemático a la infraestructura de Box Domains, no un incidente aislado contra una única plataforma.
El protocolo respondió de forma contundente cerrando el acceso a todas las URL principales para prevenir una mayor exposición de los usuarios a la interfaz maliciosa. Al mismo tiempo, el equipo habilitó dos alternativas seguras y verificadas para acceder a la plataforma: aero.drome.eth.limo y aero.drome.eth.link. Estos espejos descentralizados utilizan el Ethereum Name Service (ENS), que funciona de manera independiente respecto a los sistemas DNS tradicionales y es intrínsecamente resistente al tipo de ataque sufrido por los dominios centralizados.
Durante el incidente, el equipo destacó un aspecto fundamental que contribuyó a mantener la confianza de los usuarios: la seguridad de los contratos inteligentes permaneció completamente intacta. La brecha afectó exclusivamente a los puntos de acceso del frontend, lo que significa que tanto la lógica del protocolo como los fondos de los usuarios en contratos inteligentes nunca estuvieron directamente en riesgo. Comprender esta diferencia es esencial para distinguir entre ataques al frontend y exploits de contratos inteligentes.
Para agravar la situación, Velodrome (protocolo hermano de Aerodrome) experimentó amenazas similares en el mismo periodo, lo que llevó a su equipo a lanzar advertencias paralelas sobre la seguridad de los dominios. El carácter coordinado de estos avisos sugiere que los atacantes actuaron de forma sistemática contra la infraestructura de Box Domains con la intención de comprometer múltiples plataformas DeFi simultáneamente, afectando potencialmente a un ecosistema más amplio de proyectos con el mismo proveedor de dominios.
Usuarios reportan intentos agresivos de drenaje de múltiples activos
El impacto del secuestro de DNS se evidenció a través de los informes detallados de usuarios que describieron sus experiencias con la interfaz maliciosa. Un usuario afectado aportó un relato completo de lo ocurrido, que tuvo lugar antes de que las advertencias oficiales se difundieran en la comunidad. Su testimonio puso de manifiesto la sofisticación del método empleado por los atacantes.
El frontend intervenido desplegó un ataque engañoso en dos fases para explotar la confianza de los usuarios en interfaces conocidas. Inicialmente, el sitio secuestrado solicitaba una firma aparentemente inofensiva que solo contenía el número "1". Esta solicitud, en apariencia trivial, servía para establecer la conexión inicial con la billetera y reducir la alerta del usuario al parecer legítima y no amenazante.
De inmediato, tras la aprobación de esa primera firma, la interfaz maliciosa inició una serie de solicitudes de aprobación ilimitada dirigidas a distintos tipos de activos: NFT, ETH, USDC y WETH. Este enfoque agresivo buscaba abrumar a los usuarios y aprovechar la confianza obtenida con la solicitud inicial, una táctica habitual de ingeniería social en ataques de phishing avanzados.
La víctima mostró una notable diligencia al documentar toda la secuencia del ataque mediante capturas de pantalla y vídeos. Estas pruebas permitieron registrar la progresión desde la primera solicitud de firma hasta los intentos de drenaje, aportando evidencia útil tanto para la investigación del equipo de Aerodrome como para el aprendizaje de la comunidad sobre la amenaza.
Reconociendo la complejidad técnica del ataque, el usuario realizó su propia investigación con ayuda de IA, revisando sistemáticamente la configuración del navegador, extensiones instaladas, ajustes DNS y endpoints RPC. Este análisis exhaustivo permitió descartar otros vectores antes de concluir que el patrón observado coincidía con la metodología de secuestro de DNS, y no con malware, fallos del navegador u otras amenazas habituales.
El incidente tuvo eco en otro miembro de la comunidad, que compartió su experiencia reciente con un drenaje distinto, presentándose como un veterano en criptomonedas y desarrollador full-stack. Esta declaración remarca un hecho relevante: incluso usuarios con alta experiencia técnica y formación en seguridad pueden verse afectados por métodos de ataque cada vez más avanzados que explotan vulnerabilidades sutiles en la experiencia de usuario.
A pesar de su experiencia, este usuario perdió fondos significativos en el incidente y posteriormente dedicó tres días intensivos a desarrollar un script especializado basado en Jito bundle para recuperar activos robados mediante operaciones encubiertas en la cadena. Gracias a estos esfuerzos técnicos, logró recuperar cerca del 10-15 % de los fondos sustraídos, demostrando tanto las dificultades de la recuperación como el potencial de las contramedidas técnicas cuando existen patrones explotables en las acciones de los atacantes.
Estas experiencias de usuario reflejan la sofisticación creciente de los ataques a los frontends y la importancia de la vigilancia incluso en plataformas conocidas. Además, demuestran el valor del intercambio de conocimientos en la comunidad para comprender y responder a las amenazas emergentes en el ecosistema DeFi.
El último mes registra las menores pérdidas por hackeos de cripto del año
El incidente de Aerodrome coincidió con un hito inesperado de seguridad para el mercado de criptomonedas, ya que la industria registró en un periodo reciente las menores pérdidas mensuales por hackeos del año. Esta tendencia positiva aporta contexto para valorar la gravedad de los incidentes individuales en un entorno donde la seguridad general está mejorando.
Según datos de la firma de seguridad blockchain PeckShield, solo se sustrajeron 18,18 millones de dólares en 15 incidentes distintos durante este periodo, lo que representa una caída del 85,7 % respecto a los 127,06 millones del mes anterior. Esta fuerte reducción sugiere que una combinación de mejores prácticas de seguridad, mayor capacidad de respuesta y posiblemente menor actividad de atacantes contribuyó a un entorno más seguro.
Al analizar los datos, PeckShield señaló que, de no haberse producido un exploit a finales de mes contra Garden Finance, las pérdidas totales habrían rondado solo los 7,18 millones de dólares, lo que habría supuesto el valor mensual más bajo desde principios de 2023 y un posible punto de inflexión en la lucha del sector contra las amenazas de seguridad.
El análisis estadístico reveló que tres incidentes principales concentraron la mayoría de las pérdidas del periodo: Garden Finance, Typus Finance y Abracadabra sufrieron brechas que sumaron 16,2 millones de dólares del total sustraído, lo que demuestra cómo unos pocos exploits significativos pueden dominar las estadísticas mensuales.
Garden Finance, un protocolo peer-to-peer en Bitcoin, informó a finales de mes que fue explotado por más de 10 millones de dólares tras comprometerse uno de sus solvers (entidades especializadas que facilitan operaciones del protocolo). El proyecto aclaró que la brecha solo afectó al inventario del solver comprometido y no a fondos de usuarios en contratos inteligentes, lo que limitó el alcance del daño.
Typus Finance sufrió a mediados de mes un ataque por manipulación de oráculo que drenó unos 3,4 millones de dólares de sus pools de liquidez. El equipo de seguridad localizó la vulnerabilidad en uno de los contratos TLP (Token Liquidity Pool) del protocolo. El impacto inmediato en el mercado fue severo: el token nativo del proyecto cayó aproximadamente un 35 % a medida que la noticia del exploit se difundía entre comunidades de trading. Los ataques por manipulación de oráculo son especialmente preocupantes en DeFi, ya que socavan los mecanismos de precios en los que muchos protocolos confían para operaciones críticas.
La plataforma de préstamos DeFi Abracadabra sufrió su tercer exploit desde el lanzamiento en el mismo periodo, con unas pérdidas de alrededor de 1,8 millones de dólares en su stablecoin MIM. El ataque tuvo éxito porque los hackers descubrieron y explotaron un método para eludir los controles de solvencia del protocolo a través de una vulnerabilidad de contrato inteligente. La recurrencia de exploits en esta plataforma plantea dudas sobre la exhaustividad de las auditorías de seguridad y los retos de mantener el código seguro en protocolos DeFi complejos.
Estos incidentes, aunque representaron pérdidas relevantes, demostraron la diversidad de vectores de ataque que siguen amenazando a los protocolos DeFi (desde manipulación de oráculos y vulnerabilidades en contratos inteligentes hasta compromisos de solvers y ataques al frontend). El bajo total de pérdidas sugiere avances en seguridad, aunque la persistencia de exploits de alto impacto indica que queda trabajo por hacer para proteger el ecosistema de forma integral.
Preguntas frecuentes
¿Qué es Aerodrome y qué función cumple en la cadena Base?
Aerodrome es el principal exchange descentralizado (DEX) de Base que permite intercambios de tokens, provisión de liquidez y yield farming. Facilita el trading eficiente y el despliegue de capital en el ecosistema Base mediante su mecanismo automatizado de market maker.
¿En qué consiste la vulnerabilidad específica del frontend? ¿Cómo afectó a la seguridad de los fondos de los usuarios?
La brecha en el frontend comprometió la interfaz del DEX, con posible exposición de datos de sesión y detalles de transacciones de usuario. Sin embargo, los fondos de los usuarios permanecieron seguros en los contratos inteligentes, ya que la vulnerabilidad no afectó la capa blockchain. Los usuarios sufrieron interrupciones temporales del servicio, pero no ocurrieron pérdidas directas de activos.
¿Qué medidas de emergencia deben adoptar los usuarios que operan en Aerodrome para proteger sus fondos?
Desconectar inmediatamente las billeteras de la plataforma, revocar aprobaciones de tokens mediante exploradores blockchain, transferir los activos a billeteras de autocustodia seguras, habilitar protección multifirma, monitorear las cuentas ante transacciones no autorizadas y evitar utilizar la interfaz afectada hasta que se confirme el despliegue de los parches de seguridad.
¿Cuál es la diferencia entre las vulnerabilidades de seguridad del frontend y las de contratos inteligentes? ¿Cuál implica mayor riesgo?
Las vulnerabilidades del frontend afectan a las interfaces de usuario y pueden derivar en phishing o robo de datos. Las vulnerabilidades de contratos inteligentes comprometen directamente fondos y transacciones on-chain. Las vulnerabilidades en contratos inteligentes suponen un riesgo mayor, ya que pueden causar la pérdida permanente de activos, mientras que las brechas en el frontend suelen afectar la información del usuario y no los activos en blockchain de forma directa.
¿Han ocurrido anteriormente brechas similares de seguridad en el frontend de DEX? ¿Cómo pueden prevenirse?
Sí, los ataques al frontend han afectado a varios DEX. Las medidas preventivas incluyen: utilizar billeteras hardware, verificar cuidadosamente las URLs, activar extensiones de verificación de dominio, revisar registros DNS y emplear únicamente enlaces oficiales de la aplicación. La seguridad multifirma y auditorías periódicas también refuerzan la protección frente a este tipo de brechas.
Este incidente subraya la importancia crítica de las auditorías de seguridad del frontend para todas las plataformas DEX de Base. Otros proyectos deben reforzar sus medidas de seguridad, implementar protección multinivel y realizar evaluaciones periódicas para prevenir compromisos similares en el frontend y proteger los activos de los usuarios.
* La información no pretende ser ni constituye un consejo financiero ni ninguna otra recomendación de ningún tipo ofrecida o respaldada por Gate.
