{"id":34997,"date":"2026-05-27T15:05:34","date_gmt":"2026-05-27T15:05:34","guid":{"rendered":"https:\/\/blockchainjournal.news\/es\/?p=34997"},"modified":"2026-05-27T15:05:34","modified_gmt":"2026-05-27T15:05:34","slug":"hackers-aprovechan-exploit-de-stakedao-para-acunar-54-billones-de-tokens-vsdcrv","status":"publish","type":"post","link":"https:\/\/blockchainjournal.news\/es\/hackers-aprovechan-exploit-de-stakedao-para-acunar-54-billones-de-tokens-vsdcrv\/","title":{"rendered":"Hackers aprovechan exploit de StakeDAO para acu\u00f1ar 5,4 billones de tokens vsdCRV"},"content":{"rendered":"<p data-path-to-node=\"1\">Un atacante comprometi\u00f3 la clave de desarrollo vinculada a StakeDAO en la red de Arbitrum el mi\u00e9rcoles 27 de mayo, lo que permiti\u00f3 la emisi\u00f3n masiva de <b data-path-to-node=\"1\" data-index-in-node=\"160\">m\u00e1s de 5,4 billones de tokens vsdCRV<\/b>. Sin embargo, <b data-path-to-node=\"1\" data-index-in-node=\"211\">la liquidez disponible en los fondos limit\u00f3 las ganancias reales a unos 91.000 d\u00f3lares<\/b>. La firma de seguridad PeckShield confirm\u00f3 que el atacante intercambi\u00f3 una peque\u00f1a fracci\u00f3n de los tokens acu\u00f1ados por un total de 43,7 Ether (ETH) antes de transferir los fondos obtenidos hacia la red principal de Ethereum de forma inmediata.<!--more--><\/p>\n<blockquote class=\"twitter-tweet\" data-width=\"550\" data-dnt=\"true\">\n<p lang=\"en\" dir=\"ltr\"><a href=\"https:\/\/twitter.com\/hashtag\/PeckShieldAlert?src=hash&amp;ref_src=twsrc%5Etfw\">#PeckShieldAlert<\/a> 5.4 trillion <a href=\"https:\/\/twitter.com\/search?q=%24vsdCRV&amp;src=ctag&amp;ref_src=twsrc%5Etfw\">$vsdCRV<\/a> was minted on <a href=\"https:\/\/twitter.com\/hashtag\/Arbitrum?src=hash&amp;ref_src=twsrc%5Etfw\">#Arbitrum<\/a> <a href=\"https:\/\/twitter.com\/StakeDAOHQ?ref_src=twsrc%5Etfw\">@StakeDAOHQ<\/a>.<\/p>\n<p>The exploiter has swapped part of the <a href=\"https:\/\/twitter.com\/search?q=%24vsdCRV&amp;src=ctag&amp;ref_src=twsrc%5Etfw\">$vsdCRV<\/a> for 43.781 <a href=\"https:\/\/twitter.com\/search?q=%24ETH&amp;src=ctag&amp;ref_src=twsrc%5Etfw\">$ETH<\/a> ($91.17K) &amp; bridged them to Ethereum (0xeF3C&#8230;aa25). <a href=\"https:\/\/t.co\/EUuUOsUYe9\">pic.twitter.com\/EUuUOsUYe9<\/a><\/p>\n<p>&mdash; PeckShieldAlert (@PeckShieldAlert) <a href=\"https:\/\/twitter.com\/PeckShieldAlert\/status\/2059578749352640679?ref_src=twsrc%5Etfw\">May 27, 2026<\/a><\/p><\/blockquote>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><\/p>\n<p data-path-to-node=\"2\">La firma de seguridad detall\u00f3 el movimiento inicial en una actualizaci\u00f3n de <b data-path-to-node=\"2\" data-index-in-node=\"76\">PeckShieldAlert en X<\/b>, donde se evidenci\u00f3 la ruta seguida por los activos digitales robados. Por su parte, el investigador de datos en cadena EmberCN especific\u00f3 que el atacante solo consigui\u00f3 cambiar aproximadamente 16,83 millones de vsdCRV debido a la falta de profundidad del mercado.<\/p>\n<blockquote class=\"twitter-tweet\" data-width=\"550\" data-dnt=\"true\">\n<p lang=\"zh\" dir=\"ltr\">StakeDAO \u90e8\u7f72\u8005\u7684\u79c1\u94a5\u88ab\u76d7\uff0c1 \u5c0f\u65f6\u524d\u88ab\u9ed1\u5ba2\u94f8\u9020\u4e86 5.4 \u4e07\u4ebf\u679a vsdCRV\uff0c\u540d\u4e49\u4ef7\u503c $7630 \u4ebf\u3002<\/p>\n<p>\u4e0d\u8fc7\u56e0\u4e3a vsdCRV \u6d41\u52a8\u6027\u6781\u5dee\uff0c\u5c31\u51e0\u4e07\u5200\u7684\u6c60\u5b50\u3002\u6240\u4ee5\u9ed1\u5ba2\u901a\u8fc7\u591a\u4e2a DEX \u5e02\u573a\u4e5f\u53ea\u662f\u628a 1683 \u4e07 vsdCRV (\u540d\u4e49\u4ef7\u503c $235 \u4e07) \u6362\u5230\u4e86 43.7 \u679a ETH ($9.1 \u4e07)\u3002\u4f59\u4e0b\u7684\u5df2\u7ecf\u6ca1\u6709\u6d41\u52a8\u6027\u7ed9\u4ed6\u8d70\u4e86\u3002\u2026 <a href=\"https:\/\/t.co\/pAh5pSaCDJ\">pic.twitter.com\/pAh5pSaCDJ<\/a><\/p>\n<p>&mdash; \u4f59\u70ec (@EmberCN) <a href=\"https:\/\/twitter.com\/EmberCN\/status\/2059587291950284970?ref_src=twsrc%5Etfw\">May 27, 2026<\/a><\/p><\/blockquote>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><\/p>\n<p data-path-to-node=\"3\">Seg\u00fan los datos publicados por <b data-path-to-node=\"3\" data-index-in-node=\"31\">EmberCN en su cuenta en X<\/b>, se estim\u00f3 que la emisi\u00f3n total de 5,4 billones de vsdCRV equival\u00eda te\u00f3ricamente a <b data-path-to-node=\"3\" data-index-in-node=\"135\">unos 763.000 millones de d\u00f3lares en papel<\/b>, una cifra astron\u00f3mica que refleja la brecha extrema entre las valoraciones nominales de los activos digitales y la liquidez real extra\u00edble en el sector de las finanzas descentralizadas o <a href=\"https:\/\/blockchainjournal.news\/es\/noticias\/defi\/\" target=\"_blank\" rel=\"noopener\"><b data-path-to-node=\"3\" data-index-in-node=\"365\">Defi<\/b><\/a>.<\/p>\n<p data-path-to-node=\"5\">El incidente no se origin\u00f3 por un error en el c\u00f3digo de los contratos inteligentes ni por una falla en la infraestructura de mensajer\u00eda de LayerZero. Seg\u00fan explic\u00f3 Shalev Keren, director de producto y cofundador de la firma de gesti\u00f3n de claves criptogr\u00e1ficas Sodot, el ataque se debi\u00f3 enteramente al compromiso de una \u00fanica clave privada de desarrollo en Arbitrum. Esta clave, que pose\u00eda privilegios de administraci\u00f3n avanzados, modific\u00f3 la configuraci\u00f3n del puente de cadena cruzada para apuntar hacia un contrato malicioso controlado por el atacante dentro del entorno de Ethereum.<\/p>\n<p data-path-to-node=\"6\">Apenas 25 segundos despu\u00e9s de este cambio de configuraci\u00f3n, dicho contrato envi\u00f3 una instrucci\u00f3n a trav\u00e9s de LayerZero que orden\u00f3 a la red de Arbitrum acu\u00f1ar la millonaria suma de tokens a favor de la direcci\u00f3n del atacante. El proceso automatizado se ejecut\u00f3 sin resistencia debido a la confianza impl\u00edcita depositada en las claves de desarrollo del protocolo.<\/p>\n<p data-path-to-node=\"7\">La manipulaci\u00f3n de los par\u00e1metros del puente de cadena cruzada expone los riesgos asociados a la gobernanza centralizada de contratos modificables. En el ecosistema actual, la velocidad con la que se ejecutan los mensajes automatizados entre redes puede actuar en contra de la recuperaci\u00f3n de fondos si no existen mecanismos de pausa autom\u00e1ticos o retrasos temporales en la ejecuci\u00f3n. El contrato controlado por el atacante explot\u00f3 la confianza preestablecida del puente sin activar alertas tempranas, completando todo el ciclo de emisi\u00f3n en menos de medio minuto de forma ininterrumpida.<\/p>\n<h2 data-path-to-node=\"8\">Seguridad operativa y puntos \u00fanicos de falla<\/h2>\n<p data-path-to-node=\"9\">La vulnerabilidad operativa observada en este caso guarda una relaci\u00f3n directa con otros incidentes recientes dentro de la tecnolog\u00eda <a href=\"https:\/\/blockchainjournal.news\/es\/noticias\/noticias-blockchain\/\" target=\"_blank\" rel=\"noopener\"><b data-path-to-node=\"9\" data-index-in-node=\"134\">blockchain<\/b><\/a>. Keren se\u00f1al\u00f3 que la estructura de este ataque es id\u00e9ntica a la filtraci\u00f3n de claves sufrida por el protocolo Wasabi en abril de 2026, la cual <b data-path-to-node=\"9\" data-index-in-node=\"288\">dren\u00f3 aproximadamente 5,5 millones de d\u00f3lares<\/b> en criptoactivos en pocos minutos.<\/p>\n<p data-path-to-node=\"10\">El especialista enfatiz\u00f3 que el riesgo central para los proyectos en 2026 ya no radica \u00fanicamente en la presencia de auditor\u00edas de c\u00f3digo exhaustivas, sino en la centralizaci\u00f3n de las claves de configuraci\u00f3n de los sistemas de contratos. Estas claves act\u00faan como puntos \u00fanicos de falla al carecer de esquemas de firmas m\u00faltiples o de tiempos de espera obligatorios entre la aprobaci\u00f3n de un cambio de configuraci\u00f3n y su ejecuci\u00f3n en la cadena de bloques.<\/p>\n<p data-path-to-node=\"11\">La respuesta comunitaria y de los proveedores de liquidez tambi\u00e9n determin\u00f3 el techo del impacto financiero final. Al no contar con pools de intercambio densos para el par vsdCRV, los algoritmos de creaci\u00f3n de mercado automatizada aplicaron un deslizamiento de precios tan severo que redujo el valor de cambio de las transacciones subsecuentes a cero, imposibilitando el drenaje de otros activos de la tesorer\u00eda de StakeDAO.<\/p>\n<p data-path-to-node=\"12\">Tras detectar la anomal\u00eda en la emisi\u00f3n de vsdCRV, el equipo de StakeDAO emiti\u00f3 una alerta p\u00fablica confirmando que estaba al tanto del problema operativo y <b data-path-to-node=\"12\" data-index-in-node=\"156\">advirti\u00f3 formalmente a sus usuarios no interactuar<\/b> con el token afectado. El caso permanece bajo observaci\u00f3n mientras las plataformas de seguridad rastrean el destino final de los fondos transferidos.<\/p>\n<p data-path-to-node=\"13\">Este art\u00edculo tiene fines informativos y no constituye asesoramiento financiero.<\/p>\n","protected":false},"excerpt":{"rendered":"<p>Un atacante comprometi\u00f3 la clave de desarrollo vinculada a StakeDAO en la red de Arbitrum el mi\u00e9rcoles 27 de mayo, lo que permiti\u00f3 la emisi\u00f3n masiva de m\u00e1s de 5,4 billones de tokens vsdCRV. Sin embargo, la liquidez disponible en los fondos limit\u00f3 las ganancias reales a unos 91.000 d\u00f3lares. La firma de seguridad PeckShield<\/p>\n","protected":false},"author":34,"featured_media":34998,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[177,189],"tags":[59,1458],"class_list":{"0":"post-34997","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-noticias","8":"category-noticias-blockchain","9":"tag-featured","10":"tag-hackers"},"_links":{"self":[{"href":"https:\/\/blockchainjournal.news\/es\/wp-json\/wp\/v2\/posts\/34997","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/blockchainjournal.news\/es\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/blockchainjournal.news\/es\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/blockchainjournal.news\/es\/wp-json\/wp\/v2\/users\/34"}],"replies":[{"embeddable":true,"href":"https:\/\/blockchainjournal.news\/es\/wp-json\/wp\/v2\/comments?post=34997"}],"version-history":[{"count":1,"href":"https:\/\/blockchainjournal.news\/es\/wp-json\/wp\/v2\/posts\/34997\/revisions"}],"predecessor-version":[{"id":34999,"href":"https:\/\/blockchainjournal.news\/es\/wp-json\/wp\/v2\/posts\/34997\/revisions\/34999"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/blockchainjournal.news\/es\/wp-json\/wp\/v2\/media\/34998"}],"wp:attachment":[{"href":"https:\/\/blockchainjournal.news\/es\/wp-json\/wp\/v2\/media?parent=34997"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/blockchainjournal.news\/es\/wp-json\/wp\/v2\/categories?post=34997"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/blockchainjournal.news\/es\/wp-json\/wp\/v2\/tags?post=34997"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}