Al menos 297 wallets fueron vaciadas en cadenas compatibles por la máquina virtual de Ethereum (EVM) en pocas horas, con casi USD 500.000 robados, según datos presentados este 28 de mayo por el desarrollador e investigador on chain conocido en X como mr wildcat. Los fondos, según el desarrollador, fueron consolidados en una única dirección antes de ser distribuidos a través de la plataforma de intercambio (swap) FixedFloat.
Ethereum concentró el grueso del daño con 230 direcciones comprometidas y casi 495.000 dólares sustraídos. Las otras nueve cadenas afectadas registraron montos menores: BNB Chain con 38 direcciones y alrededor de 917 dólares, Polygon con 32 direcciones y poco menos de 987 dólares, como se ve en la siguiente imagen:
Sobre el vector de ataque, Mr. Wildcat planteó una hipótesis no confirmada: “Sospecho de una filtración masiva de claves privadas asociada a un proveedor de wallets”. De ser así, el incidente no apuntaría a una vulnerabilidad en un módulo externo ni en un contrato inteligente, sino directamente a las claves que otorgan control total sobre los fondos. Esto sería muy similar a lo ocurrido a finales de abril, cuyo hackeo que afectó a más de 500 wallets y dejó más de USD 700.000 en fondos robados, según reportó KriptoNoticias.
Un segundo incidente en menos de una semana
El hackeo de estas casi 300 wallets ocurre tres días después de un exploit que drenó aproximadamente USD 3 millones de 86 wallets en Ethereum y Base, reportado por KriptoNoticias.
En ese caso, el atacante no necesitó las claves privadas de sus víctimas, ya que aprovechó una vulnerabilidad en un módulo externo de Squid Router (una herramienta que permite ejecutar intercambios entre redes desde la wallet) para hacerse pasar por un operador autorizado y ejecutar transacciones sin permiso. Los fondos fueron convertidos a DAI a través de pools de liquidez que el propio atacante había armado de antemano en Uniswap.
Ambos incidentes ilustran vectores de ataque distintos. El exploit de Squid Router no requirió acceso a las claves privadas, sino que apuntó a un módulo externo instalado en las wallets afectadas.
El caso analizado por mr wildcat, si se confirma la hipótesis, habría comprometido las claves directamente desde un proveedor, lo que implica un nivel de acceso más profundo y un riesgo más difícil de mitigar para el usuario individual.
