El token TRU de Truebit se esfumó literalmente en cuestión de horas. El jueves, el precio cayó casi un 99,9% después de que un atacante aprovechara una vulnerabilidad en un antiguo contrato inteligente para drenar alrededor de 8,535 ethers, aproximadamente 26.6 millones de dólares al precio del mercado. Un colapso casi total, brutal, y revelador de los riesgos persistentes asociados con los contratos heredados.
Una falla antigua de 5 años, pero aún activa
Truebit, un protocolo Ethereum especializado en la verificación y cálculo descentralizado, confirmó estar al tanto de un incidente de seguridad que involucra a uno o más actores malintencionados. El problema no radica en el código más reciente, sino en un contrato inteligente desplegado hace aproximadamente cinco años.
Según varios analistas on-chain, este contrato contenía una lógica de creación de tokens defectuosa. Para algunas transacciones de un tamaño anormalmente grande, la función de cálculo de precios podía devolver… cero. Como resultado, el atacante podía adquirir cantidades masivas de TRU sin costo alguno, para luego revenderlas de inmediato al protocolo a través de la curva de emisión para extraer ETH.
Una mecánica de drenaje meticulosa
El ataque no se llevó a cabo de una vez. Se basó en una serie de bucles de compra y venta, aprovechando los desequilibrios temporales en la reserva a medida que se drenaban ETH. En cada iteración, el contrato recalculaba los precios en base a datos distorsionados, permitiendo continuar con la extracción hasta agotar casi por completo los fondos disponibles.
Incluso se afirma que la billetera utilizada pagó un pequeño “builder bribe” para priorizar sus transacciones, acelerando el ataque y disminuyendo las posibilidades de intervención externa.
A medida que la reserva se vaciaba, la liquidez del token desaparecía. El mercado comprendió rápidamente lo que estaba sucediendo. Los titulares intentaron salir de forma urgente, precipitando la caída del precio.
Un colapso casi total del token TRU
El impacto en el mercado fue inmediato. TRU se desplomó hasta perder un 99,9% de su valor. En la práctica, el token se volvió prácticamente ilíquido, con un precio cercano a cero. Para los inversores, esto representa una destrucción de valor casi total, sin posibilidad realista de recuperación a corto plazo.
Truebit compartió la dirección del contrato afectado y pidió al público que dejara de interactuar con él. El protocolo indicó estar en contacto con las autoridades, sin especificar si se han pausado los contratos afectados ni si se contempla una recuperación parcial de los fondos.
El recordatorio brutal de los riesgos asociados con los contratos heredados
Este incidente ilustra un problema estructural recurrente en DeFi: los contratos antiguos, a veces olvidados, siguen siendo vulnerables mientras mantengan fondos o estén conectados a reservas activas. Actualizar el código principal no siempre es suficiente. Las superficies de ataque persisten, a veces durante años, hasta que un actor las redescubre.
Para el ecosistema, el mensaje es claro. Las auditorías puntuales y las migraciones parciales no protegen contra las vulnerabilidades históricas. Y para Truebit, más allá de la pérdida financiera, la credibilidad del protocolo se ve gravemente comprometida.
