Los fondos se canalizaron a través de Tornado Cash mientras el usuario de Goldfinch Finance, deltatiger.eth, perdió $330,000.

Un usuariodentde la plataforma DeFi basada en EthereumGoldfinch Finance sufrió una vulnerabilidad que le provocó pérdidas de aproximadamente $330,000, según la plataforma de seguridad blockchain PeckShield.

PeckShieldAlert informó el martes X que el atacante del usuario deltatiger.eth de Goldfinch había enviado alrededor de 118 ETH a Tornado Cash después de hackear untracinteligente más antiguo en Ethereum.

Eltraccomprometido,dentcomo 0x0689aa2234d06Ac0d04cdac874331d287aFA4B43, permitió al perpetrador tomar el control de la billetera de deltatiger y drenar fondos.

#PeckShieldAlert @deltatigernz de @goldfinch_fi ha sido atacado, lo que ha provocado una pérdida de aproximadamente $330 000.

El hacker ha depositado 118 $ETH de los fondos robados en #Tornado Cash .

🚨Por favor, *Revoque* las aprobaciones para este contrato trac :… pic.twitter.com/OOuv39YVU9

— PeckShieldAlert (@PeckShieldAlert) 2 de diciembre de 2025

La vulnerabilidad residía en la función collectInterestRepayment() deltrac, que permite transferir USDC desde cualquier dirección que otorgue la aprobación. El atacante supuestamente depositó 1000 USDC y retiró fondos repetidamente tras inflar artificialmente el precio de la acción.

PeckShield advirtió a los usuarios que “revocaran todas las aprobaciones del contrato trac inmediatamente para evitar que el pirata informático robara más tokens mientras continuaban usando el mezclador de criptomonedas Tornado Cash para lavar los robados.

Hasta el momento no ha habido actualizaciones de deltatiger y Goldfinch, y ninguna de las entidades ha revelado si el atacante se ha comunicado con ellos después de que se produjo el exploit alrededor de las 9:30 AM UTC de hoy.

El método de préstamos descentralizados de Goldfinch Finance fue criticado

Goldfinch Finance es un protocolo de finanzas descentralizadas (DeFi) respaldado por los principales actores de la industria de las criptomonedas, incluidos a16z Crypto y Coinbase Ventures. 

A diferencia de la mayoría de las plataformas de préstamos de criptomonedas, Goldfinch no exige a los prestatarios que aporten garantías. En su lugar, pueden presentar propuestas de préstamo para su revisión por parte de patrocinadores y auditores, que se emiten si las propuestas obtienen el apoyo suficiente. Los proveedores de liquidez, patrocinadores y auditores obtienen intereses como recompensa, mientras que los prestatarios acceden al capital sin aportar garantías.

El protocolo se lanzó en Ethereum en febrero de 2021, emitiendo inicialmente préstamos por valor de 1 millón de dólares. La versión 1.1 se lanzó un mes después, en marzo de 2021, y Goldfinch recaudó 11 millones de dólares en financiación de Andreessen Horowitz meses después. En octubre de 2021, la plataforma se asoció con Nexus Mutual, lo que permitió a los proveedores de liquidez y a los patrocinadores adquirir seguros detracinteligentes. 

Según la terminal de tokens de Coingecko, el protocolo Goldfinch tiene una capitalización de mercado totalmente diluida de $30,5 millones, un volumen de comercio de tokens de $12,4 millones en los últimos 30 días y préstamos activos por un total de $91,3 millones.

En 2023, una empresa de financiación de motocicletas del este de África llamada Tugende Kenya incumplió un préstamo en criptomonedas de 5 millones de dólares tras supuestamente proporcionar un préstamo no autorizado a su empresa matriz con sede en Uganda, lo que violó los términos del préstamo.

Warbler Labs, la empresa matriz de Goldfinch, descubrió que Tugende Kenya había desviado casi 2 millones de dólares a su empresa matriz. La filtración se reveló en diciembre de ese año, pero los registros de la empresa muestran que se informó en el foro de gobernanza de Goldfinch en febrero de 2024.

En 2024 se produjo otro impago, relacionado con Lend East, una entidad de crédito privada con sede en Singapur. Esta entidad declaró que solo podía reembolsar unos 4,25 millones de dólares de un préstamo de 10,15 millones de dólares del fondo Goldfinch. Esta cantidad era un 58 % inferior al valor de reembolso y representaba el 7,7 % del total de préstamos activos de Goldfinch. 

El fondo de Lend East tenía un plazo de 25 meses, con vencimiento el 3 de abril de 2024, y ofrecía un 17% de TAE en USDC o un 28% de TAE variable en GFI. Miembros de la comunidad de Discord denunciaron que $750,000 prestados a Goldfinch se utilizaron para pagar a otros prestatarios, incumpliendo así el contrato de préstamo original.

Diciembre da la bienvenida a los protocolos DeFi ante pérdidas por hackeos

El hackeo de Goldfinch ocurre apenas 24 horas después de que el yETH de Yearn Finance sufriera una brecha de acuñación ilimitada, drenando todo el pool de yETH en una sola transacción. Según el informe , los atacantes generaron tokens yETH casi infinitos, trac aproximadamente 1000 ETH, con un valor de 3 millones de dólares, que luego se canalizaron a través de Tornado Cash .

yETH es un token de índice basado en varias versiones de ETH con participación líquida, conocidas como Derivados de Participación Líquida Ethereum (LST). El exploit fue reportado por el usuario X Togbe, quien notó "transacciones masivas" en LST, incluyendo Yearn, Rocket Pool, Origin y Dinero.

Yearn Finance confirmó eldent a través de su cuenta oficial de X, pero aseguró a los usuarios que las bóvedas V2 y V3 eran seguras. Este es el segundo ataque desde 2021, cuando la vulneración de la bóveda yDAI de Yearn provocó una pérdida de 2,8 millones de dólares y un script defectuoso en diciembre de 2023 que eliminó el 63 % de una posición de tesorería.

La firma de seguridad blockchain CertiK informó el domingo que la industria de las criptomonedas sufrió pérdidas estimadas en 127 millones de dólares debido a ataques informáticos y exploits en noviembre. El informe mensual de amenazas de la compañía indicó que los fondos afectados superaron los 172 millones de dólares, aunque posteriormente se recuperaron aproximadamente 45 millones de dólares.

Únase a una comunidad premium de comercio de criptomonedas gratis durante 30 días (normalmente $100/mes).