Hackers secuestran el DNS de OpenEden en la última ola de phishing de criptomonedas

OpenEden fue noticia hoy, 16 de febrero, cuando la plataforma establecida de gestión de activos tokenizados anunció que los atacantes habían comprometido el Sistema de nombres de dominio (DNS) tanto de su sitio web principal como del portal de usuarios, creando una amenaza inmediata a la seguridad de la billetera para cualquiera que intente acceder a la plataforma a través de navegadores web normales.

“Parece que el DNS de opensen.com y portal.openeden.com está comprometido. NO interactúe con ellos”, publicó la empresa con sede en Singapur en su cuenta X.

La advertencia enfatizó que si bien “todos los activos de reserva permanecen SAFU y pueden verificarse a través del Chainlink Proof-of-Reserve de OpenEden ”, los usuarios que visiten los dominios secuestrados pueden perder los activos de su billetera.

El equipo de OpenEden afirmó que actualmente estaba investigando la violación y prometió proporcionar actualizaciones a medida que se desarrolle la situación.

Un duro golpe para un actor clave en la industria de las criptomonedas

La vulnerabilidad del DNS generó gran preocupación, especialmente dado el papel de OpenEden como importante custodio institucional de activos tokenizados del mundo real. La empresa se fundó en 2022 en Singapur y opera como emisora de letras del Tesoro estadounidense tokenizadas a través de su token insignia, TBILL , que proporciona a los inversores acceso directo a letras del Tesoro tokenizadas respaldadas por los valores correspondientes guardados en cuentas segregadas.

La plataforma creció hasta convertirse en un actor clave en el espacio criptográfico y se convirtió en el primer emisor de RWA tokenizado en recibir calificaciones A de los analistas de inversión (A de Moody's y AA+ de S&P Global Ratings) para su fondo del Tesoro.

Con una presencia industrial tan grande (que atiende a inversores profesionales, tesorerías de DAO y otras empresas), la vulneración del DNS crea un riesgo para los usuarios DeFi , pero más aún para los participantes más grandes del mercado que asumen que las plataformas de nivel institucional tienen seguridad de nivel empresarial que protege sus puntos de acceso web.

¿Cómo ocurrió el ataque DNS?

Los ataques de secuestro de DNS funcionan comprometiendo el sistema de direcciones de Internet. El Sistema de Nombres de Dominio (DNS) funciona como la guía telefónica de Internet, traduciendo nombres de dominio legibles como "openeden.com" a direcciones IP numéricas que las computadoras utilizan para enrutar el tráfico. 

De esta forma, cuando los atacantes secuestran los registros de un dominio, pueden redirigir a los visitantes a sitios maliciosos sin tocar la infraestructura de la plataforma original.

En el caso de OpenEden, los usuarios que escriban “openeden.com” o “portal.openeden.com” en sus navegadores serían redirigidos a servidores propiedad del atacante que albergan versiones falsas de la plataforma original. 

Estos sitios falsos replicaban la interfaz original píxel a píxel y solicitaban a los usuarios que conectaran sus billeteras. Tras conectarse, el sitio malicioso podía solicitar firmas de transacción que aparecen en el sitio web como interacciones normales, pero que en realidad autorizan transferencias de tokens a las billeteras de los atacantes.

Afortunadamente, este atacante operadentde lostracinteligentes y los sistemas de custodia de reservas de OpenEden. Los tokens TBILL y USDO de la plataforma permanecen seguros en sus respectivas bóvedas, y todos los activos de reserva que los respaldan siguen siendo verificables a través de los oráculos de Prueba de Reserva de Chainlink. 

Esto significa que el ataque DNS solo crea riesgo para los usuarios que visitan los dominios secuestrados e interactúan con la interfaz de phishing, lo que obliga a OpenEden a anunciar una advertencia a todos los usuarios para que dejen de interactuar con su sitio web.

Últimos ataques DNS contra plataformas de criptomonedas

El incidente de OpenEden dent enmarca en un preocupante patrón de secuestros de DNS dirigidos a plataformas de criptomonedas. En noviembre de 2025, Aerodrome Finance (la mayor plataforma de intercambio descentralizada de Coinbase) fue secuestrada por atacantes que tomaron el control del registro de dominio de la plataforma para redirigir el tráfico a un sitio web falso.

Lostracinteligentes de Aerodrome permanecieron intactos, pero el sitio de phishing pudo engañar a usuarios desprevenidos para que firmaran aprobaciones de transacciones que vaciaron sus billeteras de ETH, USDC y varios otros tokens.

En la misma línea, Curve Finance sufrió un secuestro de DNS en mayo de 2025 cuando los atacantes se infiltraron en el registrador de dominio “iwantmyname” y modificaron la delegación de DNS para el dominio “curve.fi”.

Naturalmente, los usuarios fueron redirigidos a otros sitios, pero el equipo de Curve respondió migrando a un dominio alternativo seguro e instando a los usuarios a acceder a la plataforma a través de los espejos de Ethereum Name Service (ENS) en lugar del DNS tradicional.

Los ataques DNS funcionan bien en particular para las plataformas de criptomonedas porque los usuarios deben conectar billeteras y firmar transacciones con frecuencia, lo que crea varias oportunidades para que los sitios de phishing los ataquen. 

OpenEden no ha revelado cómo los atacantes obtuvieron el control de sus registros DNS ni qué registrador administra sus dominios, ya que la investigación aún está en curso. 

Sin embargo, la plataforma no ha proporcionado un plazo para el restablecimiento del acceso seguro a sus dominios. Mientras tanto, los usuarios que deseen verificar sus reservas pueden acceder directamente a la Prueba de Reserva de Chainlink para obtener información en tiempo real sobre los activos conectados a OpenEden.

No te limites a leer noticias sobre criptomonedas. Entiéndelas. Suscríbete a nuestro boletín. Es gratis .