
Otro día en el ecosistema, otra prueba de estrés no solicitada que demuestra la eficiencia de los procesos de transferencia involuntaria de valor.
Esta vez, el vector de ataque se centró en Hedera Hashgraph, patrocinando una salida forzosa de 5.8 millones de dólares hacia una EOA (Externally Owned Account) controlada por el atacante.
El flujo de fondos inicial revela una ejecución quirúrgica, tras explotar la vulnerabilidad en la capa de aplicación, el hacker utilizó la infraestructura de LayerZero como vector de salida, haciendo un "bridging" de los activos hacia la Mainnet de Ethereum.
La tesis del atacante es estándar en la práctica forense, migrar capital desde un entorno con liquidez fragmentada y alta visibilidad de gobernanza hacia un ecosistema global donde los mecanismos de ofuscación y la profundidad de los pools facilitan el desvío.
Si analizamos el patrón de comportamiento del atacante, sigue el manual del cibercrimen Web3.
Tras ejecutar contrato afectado, los fondos no permanecieron en reposo, una vez en Ethereum, el vector de ataque continuó con un clásico proceso de lavado y conversión, el hacker intercambió rápidamente WBTC por ETH para dificultar el rastreo inmediato, asegurar las ganancias y para evitar cualquier intento de congelamiento centralizado por parte de los emisores en la red nativa.
El uso de LayerZero por parte del atacante resalta cómo los delincuentes aprovechan la fluidez de las herramientas multichain para mover fondos robados de redes con menor liquidez hacia ecosistemas gigantescos como Ethereum, donde es más fácil camuflar el capital.
A nivel de arquitectura de red, es crucial aislar las variables. Al igual que en Exploits históricos que afectaron a los contratos precompilados del sistema, el algoritmo de consenso subyacente de Hedera, ABFT (Asynchronous Byzantine Fault Tolerance), se mantuvo teóricamente intacto y operativo.
El fallo no radica en la finalidad ni en la seguridad del consenso, sino en la superficie de ataque a nivel de aplicación, vulnerabilidades en la lógica de los Smart Contracts de terceros o fallas en la validación de estados del bridge.
Actualmente, las firmas de seguridad mantienen alertas en tiempo real sobre los clusters de billeteras vinculados al atacante, monitoreando cualquier intento de interacción con protocolos de privacidad o Exchanges con rampas CEX, mientras el Consejo de Hedera realiza la autopsia del código para determinar el origen preciso del Exploit.
