-
Las pérdidas del exploit rondarían entre USD 1 millón y USD 1,7 millones, según firmas de seguridad.
-
Los puentes entre cadenas concentran valor económico, son complejos técnicamente e inmutables.
El puente de la red Taiko, una solución de segunda capa (L2) de Ethereum, fue comprometido este 21 de junio, según confirmó su equipo de desarrollo. El incidente se suma a la creciente lista de exploits dirigidos a protocolos que conectan distintas redes de criptomonedas, conocidos como puentes o bridges.
Las pérdidas serían de alrededor de USD 1 millón según la firma de seguridad on chain Blockaid, aunque de acuerdo con Chris Dior, fundador de CDSecurity, otra firma del sector, el monto sustraído asciende a USD 1,7 millones. El equipo de Taiko no confirmó ninguna de las dos cifras.
Desde Taiko aclararon que el ataque apuntó al contrato inteligente que custodia los fondos que están bloqueados del lado de Ethereum, denominado ERC20Vault, que es donde se guardan los activos de los usuarios (como USDC, ETH y tokens TAIKO) que respaldan lo que circula en la red Taiko.
Datos del equipo de Blockaid sostienen que los activos sustraídos incluirían alrededor de 650.000 USDC, aproximadamente 130 ETH y tokens TAIKO.
Tras confirmar el incidente, el equipo de Taiko pausó el puente en ambas direcciones y detuvo completamente los retiros a través del ERC20Vault. Según comunicaron, las transacciones pendientes están pausadas pero no perdidas, y solicitaron a los exchanges centralizados que suspendan los depósitos del token TAIKO hasta nuevo aviso. No hay fecha confirmada de reanudación. El equipo anunció un postmortem, es decir, un informe técnico detallado sobre lo ocurrido, sin precisar cuándo estará disponible.
El mecanismo de verificación del estado de la cadena fue el punto comprometido, de acuerdo con el equipo de Taiko, aunque no explicó la metodología del ataque.
¿Por qué los puentes son el blanco favorito de los hackers?
Un puente entre cadenas es un protocolo que permite mover activos de una red de criptomonedas a otra sin un intermediario centralizado: bloquea fondos en la cadena de origen y emite representaciones equivalentes en la cadena destino. Esa función los convierte en uno de los componentes más atacados del ecosistema de finanzas descentralizadas (DeFi) por razones que son, en su mayoría, estructurales.
El primer factor es la concentración de valor. Para que los activos representados en la cadena destino estén respaldados, el puente debe retener los originales en un contrato o conjunto reducido de contratos del lado de origen. Ese diseño implica que grandes volúmenes de fondos quedan custodiados en un único punto: un solo exploit puede drenar decenas o cientos de millones de una vez.
El segundo factor es la complejidad técnica. Un puente involucra contratos inteligentes en dos cadenas con modelos de seguridad distintos, más componentes que operan fuera de la cadena (validadores, oráculos, etc.). Cada punto de conexión entre esas capas es una superficie potencial de falla: la verificación de mensajes entre cadenas, las pruebas criptográficas que certifican esos mensajes, la sincronización de estados entre ambas redes. A más capas, más lugares donde puede fallar algo.
El tercer factor, y el que agrava a los otros dos, es la inmutabilidad del código. A diferencia de un servidor corporativo donde un administrador puede lanzar un parche de seguridad en horas, un contrato inteligente no puede modificarse una vez desplegado. Corregir una falla exige migrar el protocolo completo a una nueva versión, con toda la coordinación de usuarios, liquidez y confianza que eso implica. Mientras la migración no se completa, la vulnerabilidad sigue activa.
Vectores de ataque y antecedentes recientes
Los vectores de ataque más frecuentes documentados en exploits anteriores reflejan una superficie amplia: errores de lógica en contratos inteligentes, validación insuficiente de los mensajes que llegan de la cadena de origen, claves privadas comprometidas por mala gestión operativa, y dependencia de conjuntos reducidos de validadores cuya corrupción o compromiso basta para falsificar información.
El exploit de Taiko llega dos días después de otro incidente del mismo tipo. El 19 de junio, un exploit sobre un contrato inteligente de la red Secret Network resultó en el drenaje de aproximadamente USD 4,67 millones en tokens. La falla estuvo en el contrato que procesaba las transferencias de activos enviadas desde Axelar a Secret.
El 17 de mayo, el puente entre las redes Verus y Ethereum fue drenado por aproximadamente USD 11,58 millones. El contrato verificaba la integridad formal de los mensajes recibidos pero no que los montos declarados estuvieran respaldados por valor real bloqueado en la cadena de origen, según Blockaid, la misma firma que analizó el caso Taiko.
Desde enero hasta mediados de mayo de 2026, ocho exploits contra protocolos que actúan como puentes o intercambios entre cadenas acumularon USD 328,6 millones en pérdidas, según analistas de la firma de seguridad PeckShield, entre los que se encuentran los hackeos a KelpDAO (USD 292 millones) y al puente Hyperbridge entre Polkadot y Ethereum.
La pregunta que deja la serie de incidentes no es si los puentes pueden ser atacados, sino si pueden ser asegurados. El postmortem de Taiko, cuando esté disponible, sumará un dato más a esa discusión. Lo que el patrón acumulado ya establece es que el diseño cross-chain concentra el riesgo de DeFi en el punto más difícil de defender.
