Los mejores análisis sobre criptomonedas directamente en tu bandeja de entrada.
El 'Tornado Cashmejorado' de Foom.Cash enfrenta pérdidas de casi 2,3 millones de dólares por una vulnerabilidad
- El protocolo de privacidad de FoomCash perdió aproximadamente 2,26 millones de dólares después de que un atacante falsificara las pruebas de zkSNARK debido a una configuración incorrecta del verificador.
- El exploit afectótracen Ethereum y Base, drenando 24,28 billones de tokens FOOM, con ~$427.000 tomados maliciosamente y ~$1,83 millones movidos en un rescate de sombrero blanco.
- Las empresas de seguridad tracla causa raíz hasta una configuración defectuosa de verificación de Groth16, lo que permitió retiros repetidos de tokens.
Cash, un protocolo de privacidad basado en Ethereumque se posicionó como una evolución del mezclador sancionado Tornado Cash, habría perdido aproximadamente $2,26 millones en tokens después de que un atacante explotara una falla en su sistema de verificación criptográfica, según alertas emitidas por varias empresas de seguridad blockchain.
El ataque, que afectótracen las redes Ethereum y Base, agotó 24.283.773.519.600 tokens FOOM, el activo nativo de la plataforma, en lo que los investigadores de seguridad han descrito como un exploit imitador que replica una vulnerabilidad casidentapuntada en un protocolo separado apenas unos días antes.
Una sola transacción en la red Base generó pérdidas de aproximadamente $427,000, atribuidas directamente al actor malicioso. Transacciones en Ethereum por un total aproximado de $1.83 millones parecen haber sido parte de una operación de rescate fraudulenta.
¿Cómo se produjo el exploit?
Binance, la red de seguridad Web3 liderada por GoPlus Security, denunció el ataque e informó que una configuración incorrecta de la clave de verificación permitió al atacante falsificar las pruebas zkSNARK. Esto les permitió fabricar credenciales criptográficasdentel protocolo aceptaba como válidas y luego extraertracvolúmenes de tokens de los contratostrac.
La plataforma de seguridad blockchain Certik escribió en X: “La causa principal podría ser la configuración delta2==gamma2 del verificador Groth16 en 0xc043865fb4D542E2bc5ed5Ed9A2F0939965671A6. Esto permite al atacante calcular el 'pC' necesario para diferentes 'nullifierHash' mientras que todas las demás entradas son las mismas, y recolectar repetidamente tokens ZOOM”.
En resumen, un protocolo cuyo marketing enfatizaba la casi imposibilidad de revertir sus protecciones criptográficas fue destruido por una mala configuración.
Phalcon de BlockSec , que detectó transacciones sospechosas en ambas redes en tiempo real, indicó que el incidentedent ser un ataque de imitación. La empresa señaló que el ataque explotó la misma causa raíz previamente identificadadentla brecha de seguridad de Veil Cash , ocurrida unos días antes.
Aunque vale la pena mencionar que la violación de Veil Cash fue más limitada en escala, con pérdidas contenidas en una pequeña cantidad de ETH, supuestamente 2,9 ETH.
¿Qué esCash?
Foom.Cash se posiciona como un "Protocolo de Lotería Privada impulsado por ZKProof" que combina el anonimato de Zcash, que opera como una cadena de privacidad independiente, la accesibilidad del Ethereumde DeFi y un mecanismo de recompensa aleatorio incorporado.
Se promociona como una actualización de Tornado Cash y una alternativa a Zcash en Ethereum. Tornado Cash fue sancionado por el Departamento del Tesoro de EE. UU. en 2022, pero el departamento levantó las sanciones a la plataforma en marzo de 2025.
Según la plataforma, procesa más transacciones diarias que Tornado Cash, cuenta con más de ocho millones de dólares en liquidez y genera retornos anuales del 50 al 80% para los proveedores de liquidez.
La privacidad en DeFi ha experimentado un renovado interés, con Zcash registrando un aumento significativo de precio en los últimos meses, yCash buscó capitalizar esta tendencia ofreciendo privacidad de forma nativa dentro de la infraestructura existente de Ethereum.
La plataforma utilizó una variante específica llamada zkSNARKs, que es uno de los ingredientes clave detrás de las garantías de privacidad en protocolos bien establecidos como Zcash.
¿Qué está haciendoCash para recuperar fondos y resolver el exploit?
Hasta el momento, la única mención de una recuperación está vinculada a la segunda transacción de aproximadamente 1,83 millones de dólares, que según informan empresas de seguridad fue parte de una operación de rescate de sombrero blanco.
Sin embargo, el equipoCash aún no ha mencionado ni reconocido el ataque. Por lo tanto, al momento de escribir este artículo, no hay información sobre el alcance del impacto del protocolo ni sobre qué medidas está tomando para mitigar futuros ataques.
La recuperación de sombrero blanco sugiere que el equipo puede estar trabajando detrás de escena para recuperar los fondos y resolver los problemas subyacentes.
Las mentes más brillantes del mundo de las criptomonedas ya leen nuestro boletín. ¿Te apuntas? ¡ Únete!
Aviso legal. La información proporcionada no constituye asesoramiento comercial. Cryptopolitanconsultar no se responsabiliza de las inversiones realizadas con base en la información proporcionada en esta página. Recomendamostronencarecidamente realizar una investigación independientedent un profesional cualificado antes de tomar cualquier decisión de inversión.
Hannah Collymore
Hannah es escritora y editora con casi una década de experiencia en redacción de blogs y reportajes sobre eventos en el ámbito de las criptomonedas. En Cryptopolitan, colabora en la sección de noticias, informando y analizando las últimas novedades en DeFi, RWA, regulación de criptomonedas, IA y tecnologías de vanguardia. Se graduó en Administración de Empresas por la Universidad de Arcadia.
CURSO
- ¿Qué criptomonedas pueden hacerte ganar dinero?
- Cómo mejorar tu seguridad con una billetera (y cuáles realmente vale la pena usar)
- Estrategias de inversión poco conocidas que utilizan los profesionales
- Cómo empezar a invertir en criptomonedas (qué plataformas de intercambio usar, las mejores criptomonedas para comprar, etc.)