Este último ataque sigue a campañas de phishing anteriores, incluyendo cartas falsas de marca Ledger que se enviaron a los clientes en abril. La última actualización Pectra de Ethereum también introdujo una vulnerabilidad peligrosa a través de EIP-7702, que permite firmas off-chain que podrían permitir a los hackers tomar control de las billeteras sin confirmación del usuario. Esto generó algunas preocupaciones importantes entre los investigadores de seguridad, quienes incluso calificaron la amenaza como crítica. En la cadena BNB, Mobius Token (MBU) sufrió un exploit de $2.15 millones cuando un contrato inteligente malicioso drenó millones de tokens y los convirtió en monedas estables.
Usuarios de Ledger atacados nuevamente
El proveedor de billeteras de hardware Ledger confirmó que su servidor de Discord ha sido asegurado después de que un atacante comprometiera la cuenta de un moderador el 11 de mayo. El atacante la utilizó para publicar enlaces maliciosos que estaban destinados a engañar a los usuarios para que revelaran sus frases semilla de billetera.
Según Quintin Boatwright, miembro del equipo de Ledger, la violación fue contenida rápidamente. La cuenta de moderador comprometida fue eliminada, el bot malicioso borrado, el sitio web de estafa reportado y todos los permisos fueron revisados y bloqueados para evitar abusos adicionales. Sin embargo, algunos miembros de la comunidad alegaron que el atacante abusó de los privilegios de moderador para banear y silenciar a los usuarios que intentaban reportar la violación, lo que pudo haber retrasado la respuesta inicial de Ledger.
La estafa involucraba un mensaje que afirmaba haber descubierto una nueva vulnerabilidad en los sistemas de Ledger y urgía a los usuarios a verificar sus frases semilla a través de un enlace fraudulento. Luego, se pedía a los usuarios que conectaran sus billeteras y siguieran instrucciones falsas en pantalla, lo que representaba un grave riesgo de pérdida de fondos. Aunque aún no está claro si algún usuario fue víctima de la estafa, capturas de pantalla de los mensajes engañosos se difundieron ampliamente en X.
Este último intento de phishing sigue una tendencia preocupante. En abril, los estafadores enviaron cartas físicas a los propietarios de billeteras de hardware Ledger, instándolos a ingresar sus frases de recuperación a través de códigos QR bajo el disfraz de un chequeo de seguridad. Estas cartas tenían marcas oficiales y referencias para hacerlas parecer legítimas.
Algunos destinatarios especularon que los envíos estaban relacionados con una violación de datos en julio de 2020, donde la información personal de más de 270,000 clientes de Ledger—incluyendo nombres, números de teléfono y direcciones—se filtró en línea. El año después de la violación, varios usuarios informaron haber recibido dispositivos falsos de Ledger manipulados con malware. En general, parece que los clientes de Ledger están siendo específicamente objetivo de estafadores sofisticados.
La actualización de Pectra introduce una falla peligrosa
No solo los usuarios de Ledger deben ser cautelosos. La reciente actualización de la red Pectra de Ethereum, que se activó el 7 de mayo, introdujo potentes nuevas características destinadas a mejorar la escalabilidad y aumentar la funcionalidad de las cuentas inteligentes. Sin embargo, también expuso un nuevo vector de ataque serio que podría permitir a los hackers vaciar las billeteras de los usuarios utilizando nada más que una firma off-chain.
En el corazón del asunto está EIP-7702, que es una parte clave de la actualización que permite a los usuarios delegar el control de sus cuentas de propiedad externa (EOAs) a un contrato inteligente firmando un mensaje, sin necesidad de enviar una transacción en la cadena.
Este cambio permite a los atacantes explotar a usuarios desprevenidos a través de intentos de phishing o aplicaciones falsas. Si un actor malicioso obtiene una firma válida, puede usar la transacción SetCode ( tipo 0x04) para instalar un código en la billetera de la víctima que redirige las llamadas a un contrato bajo el control del atacante. Desde allí, pueden transferir ETH o tokens fuera de la billetera sin que el usuario autorice jamás una transacción típica. Investigadores de seguridad como Arda Usman y Yehor Rudytsia confirmaron que este riesgo es inmediato y crítico. Los contratos inteligentes que dependen de suposiciones heredadas, como las verificaciones de tx.origin, son ahora vulnerables.
Lo que hace que este ataque sea particularmente peligroso es lo fácil que puede ser desplegado a través de interacciones off-chain ordinarias: mensajes de Discord, sitios web de phishing o DApps falsas. Las interfaces de billetera que no muestran o interpretan correctamente el nuevo tipo de transacción están especialmente en riesgo, y las firmas incluso pueden ser reutilizadas en cualquier cadena compatible con Ethereum debido al potencial de firmas con chain_id = 0. Rudytsia explicó que de ahora en adelante, incluso las billeteras de hardware son vulnerables a firmar mensajes de delegación maliciosos.
Se insta a los usuarios a no firmar mensajes que no entienden, especialmente aquellos que involucran nonces de cuenta o formatos no reconocidos. Los desarrolladores de billeteras deben adaptarse rápidamente integrando el análisis de firmas y advertencias claras para los intentos de delegación, ya que los mensajes habilitados por EIP-7702 a menudo evitan estándares existentes como EIP-191 y EIP-712.
Si bien las billeteras multisig ofrecen más protección debido a la necesidad de múltiples aprobaciones, las billeteras de clave única aún tienen que evolucionar para detectar estas nuevas amenazas. Junto con EIP-7702, la actualización de Pectra también incluyó EIP-7251, que aumenta el límite de participación del validador a 2,048 ETH, y EIP-7691, que mejora la escalabilidad de la capa 2 al aumentar la cantidad de blobs de datos por bloque. Lamentablemente, las consecuencias no deseadas del mecanismo de delegación ya están demostrando ser uno de los principales problemas de seguridad.
Mobius Token Sufre un Explotación
Mientras tanto, más de $2.15 millones en activos digitales fueron robados de los contratos inteligentes de Mobius Token (MBU) en la cadena BNB después de un exploit dirigido el 11 de mayo, según la firma de seguridad blockchain Cyvers Alerts. El ataque se ejecutó con precisión, comenzando solo minutos después del despliegue de un contrato inteligente malicioso. Cyvers señaló esto como sospechoso antes de que ocurriera el exploit.
El atacante inició la explotación utilizando la dirección de la cartera 0xb32a53… a aproximadamente las 07:33 UTC, justo dos minutos después de desplegar el contrato malicioso. La explotación tuvo como objetivo una cartera víctima identificada como 0xb5252f… y drenó con éxito 28.5 millones de tokens MBU. Los tokens robados fueron rápidamente convertidos en monedas estables USDT, lo que resultó en una pérdida total de $2,152,219.99. Cyvers confirmó que el atacante utilizó la dirección del contrato 0x631adf… para llevar a cabo una serie de transacciones maliciosas.
La firma de seguridad etiquetó la explotación como "crítica", debido a la lógica de contrato sospechosa y al comportamiento de transacción anormal que utilizó el hacker. Por ahora, la billetera del atacante sigue activa, y los fondos robados han sido depositados en Tornado Cash.
Este exploit es parte de una tendencia más amplia de aumentos en los robos de criptomonedas en 2025. Según un informe de la firma de seguridad blockchain PeckShield, solo en abril se vieron robados cerca de $360 millones en activos criptográficos a través de 18 incidentes importantes de hacking. Esto representó un asombroso aumento del 990% en las pérdidas en comparación con marzo, cuando solo se perdieron $33 millones debido a hacks.
Uno de los eventos más graves que contribuyó al total de abril fue una transferencia no autorizada de $330 millones en Bitcoin, que posteriormente se confirmó como el resultado de un ataque de ingeniería social dirigido a un residente anciano de EE. UU.
En general, el exploit del Mobius Token sirve como otro recordatorio contundente de la urgente necesidad de mejorar la auditoría de contratos y los sistemas de detección de amenazas en tiempo real en las plataformas DeFi.
Ver originales
El contenido es solo de referencia, no una solicitud u oferta. No se proporciona asesoramiento fiscal, legal ni de inversión. Consulte el Descargo de responsabilidad para obtener más información sobre los riesgos.
Hacker explotan la cuenta de moderador de Ledger para difundir enlaces de Phishing
Este último ataque sigue a campañas de phishing anteriores, incluyendo cartas falsas de marca Ledger que se enviaron a los clientes en abril. La última actualización Pectra de Ethereum también introdujo una vulnerabilidad peligrosa a través de EIP-7702, que permite firmas off-chain que podrían permitir a los hackers tomar control de las billeteras sin confirmación del usuario. Esto generó algunas preocupaciones importantes entre los investigadores de seguridad, quienes incluso calificaron la amenaza como crítica. En la cadena BNB, Mobius Token (MBU) sufrió un exploit de $2.15 millones cuando un contrato inteligente malicioso drenó millones de tokens y los convirtió en monedas estables.
Usuarios de Ledger atacados nuevamente
El proveedor de billeteras de hardware Ledger confirmó que su servidor de Discord ha sido asegurado después de que un atacante comprometiera la cuenta de un moderador el 11 de mayo. El atacante la utilizó para publicar enlaces maliciosos que estaban destinados a engañar a los usuarios para que revelaran sus frases semilla de billetera.
Según Quintin Boatwright, miembro del equipo de Ledger, la violación fue contenida rápidamente. La cuenta de moderador comprometida fue eliminada, el bot malicioso borrado, el sitio web de estafa reportado y todos los permisos fueron revisados y bloqueados para evitar abusos adicionales. Sin embargo, algunos miembros de la comunidad alegaron que el atacante abusó de los privilegios de moderador para banear y silenciar a los usuarios que intentaban reportar la violación, lo que pudo haber retrasado la respuesta inicial de Ledger.
La estafa involucraba un mensaje que afirmaba haber descubierto una nueva vulnerabilidad en los sistemas de Ledger y urgía a los usuarios a verificar sus frases semilla a través de un enlace fraudulento. Luego, se pedía a los usuarios que conectaran sus billeteras y siguieran instrucciones falsas en pantalla, lo que representaba un grave riesgo de pérdida de fondos. Aunque aún no está claro si algún usuario fue víctima de la estafa, capturas de pantalla de los mensajes engañosos se difundieron ampliamente en X.
Este último intento de phishing sigue una tendencia preocupante. En abril, los estafadores enviaron cartas físicas a los propietarios de billeteras de hardware Ledger, instándolos a ingresar sus frases de recuperación a través de códigos QR bajo el disfraz de un chequeo de seguridad. Estas cartas tenían marcas oficiales y referencias para hacerlas parecer legítimas.
Algunos destinatarios especularon que los envíos estaban relacionados con una violación de datos en julio de 2020, donde la información personal de más de 270,000 clientes de Ledger—incluyendo nombres, números de teléfono y direcciones—se filtró en línea. El año después de la violación, varios usuarios informaron haber recibido dispositivos falsos de Ledger manipulados con malware. En general, parece que los clientes de Ledger están siendo específicamente objetivo de estafadores sofisticados.
La actualización de Pectra introduce una falla peligrosa
No solo los usuarios de Ledger deben ser cautelosos. La reciente actualización de la red Pectra de Ethereum, que se activó el 7 de mayo, introdujo potentes nuevas características destinadas a mejorar la escalabilidad y aumentar la funcionalidad de las cuentas inteligentes. Sin embargo, también expuso un nuevo vector de ataque serio que podría permitir a los hackers vaciar las billeteras de los usuarios utilizando nada más que una firma off-chain.
En el corazón del asunto está EIP-7702, que es una parte clave de la actualización que permite a los usuarios delegar el control de sus cuentas de propiedad externa (EOAs) a un contrato inteligente firmando un mensaje, sin necesidad de enviar una transacción en la cadena.
Este cambio permite a los atacantes explotar a usuarios desprevenidos a través de intentos de phishing o aplicaciones falsas. Si un actor malicioso obtiene una firma válida, puede usar la transacción SetCode ( tipo 0x04) para instalar un código en la billetera de la víctima que redirige las llamadas a un contrato bajo el control del atacante. Desde allí, pueden transferir ETH o tokens fuera de la billetera sin que el usuario autorice jamás una transacción típica. Investigadores de seguridad como Arda Usman y Yehor Rudytsia confirmaron que este riesgo es inmediato y crítico. Los contratos inteligentes que dependen de suposiciones heredadas, como las verificaciones de tx.origin, son ahora vulnerables.
Lo que hace que este ataque sea particularmente peligroso es lo fácil que puede ser desplegado a través de interacciones off-chain ordinarias: mensajes de Discord, sitios web de phishing o DApps falsas. Las interfaces de billetera que no muestran o interpretan correctamente el nuevo tipo de transacción están especialmente en riesgo, y las firmas incluso pueden ser reutilizadas en cualquier cadena compatible con Ethereum debido al potencial de firmas con chain_id = 0. Rudytsia explicó que de ahora en adelante, incluso las billeteras de hardware son vulnerables a firmar mensajes de delegación maliciosos.
Se insta a los usuarios a no firmar mensajes que no entienden, especialmente aquellos que involucran nonces de cuenta o formatos no reconocidos. Los desarrolladores de billeteras deben adaptarse rápidamente integrando el análisis de firmas y advertencias claras para los intentos de delegación, ya que los mensajes habilitados por EIP-7702 a menudo evitan estándares existentes como EIP-191 y EIP-712.
Si bien las billeteras multisig ofrecen más protección debido a la necesidad de múltiples aprobaciones, las billeteras de clave única aún tienen que evolucionar para detectar estas nuevas amenazas. Junto con EIP-7702, la actualización de Pectra también incluyó EIP-7251, que aumenta el límite de participación del validador a 2,048 ETH, y EIP-7691, que mejora la escalabilidad de la capa 2 al aumentar la cantidad de blobs de datos por bloque. Lamentablemente, las consecuencias no deseadas del mecanismo de delegación ya están demostrando ser uno de los principales problemas de seguridad.
Mobius Token Sufre un Explotación
Mientras tanto, más de $2.15 millones en activos digitales fueron robados de los contratos inteligentes de Mobius Token (MBU) en la cadena BNB después de un exploit dirigido el 11 de mayo, según la firma de seguridad blockchain Cyvers Alerts. El ataque se ejecutó con precisión, comenzando solo minutos después del despliegue de un contrato inteligente malicioso. Cyvers señaló esto como sospechoso antes de que ocurriera el exploit.
El atacante inició la explotación utilizando la dirección de la cartera 0xb32a53… a aproximadamente las 07:33 UTC, justo dos minutos después de desplegar el contrato malicioso. La explotación tuvo como objetivo una cartera víctima identificada como 0xb5252f… y drenó con éxito 28.5 millones de tokens MBU. Los tokens robados fueron rápidamente convertidos en monedas estables USDT, lo que resultó en una pérdida total de $2,152,219.99. Cyvers confirmó que el atacante utilizó la dirección del contrato 0x631adf… para llevar a cabo una serie de transacciones maliciosas.
La firma de seguridad etiquetó la explotación como "crítica", debido a la lógica de contrato sospechosa y al comportamiento de transacción anormal que utilizó el hacker. Por ahora, la billetera del atacante sigue activa, y los fondos robados han sido depositados en Tornado Cash.
Este exploit es parte de una tendencia más amplia de aumentos en los robos de criptomonedas en 2025. Según un informe de la firma de seguridad blockchain PeckShield, solo en abril se vieron robados cerca de $360 millones en activos criptográficos a través de 18 incidentes importantes de hacking. Esto representó un asombroso aumento del 990% en las pérdidas en comparación con marzo, cuando solo se perdieron $33 millones debido a hacks.
Uno de los eventos más graves que contribuyó al total de abril fue una transferencia no autorizada de $330 millones en Bitcoin, que posteriormente se confirmó como el resultado de un ataque de ingeniería social dirigido a un residente anciano de EE. UU.
En general, el exploit del Mobius Token sirve como otro recordatorio contundente de la urgente necesidad de mejorar la auditoría de contratos y los sistemas de detección de amenazas en tiempo real en las plataformas DeFi.