El 'Tornado Cashmejorado' de Foom.Cash enfrenta pérdidas de casi 2,3 millones de dólares por una vulnerabilidad
Cash, un protocolo de privacidad basado en Ethereumque se posicionó como una evolución del mezclador sancionado Tornado Cash, habría perdido aproximadamente $2,26 millones en tokens después de que un atacante explotara una falla en su sistema de verificación criptográfica, según alertas emitidas por varias empresas de seguridad blockchain.
El ataque, que afectótracen las redes Ethereum y Base, agotó 24.283.773.519.600 tokens FOOM, el activo nativo de la plataforma, en lo que los investigadores de seguridad han descrito como un exploit imitador que replica una vulnerabilidad casidentapuntada en un protocolo separado apenas unos días antes.
Una sola transacción en la red Base generó pérdidas de aproximadamente $427,000, atribuidas directamente al actor malicioso. Transacciones en Ethereum por un total aproximado de $1.83 millones parecen haber sido parte de una operación de rescate fraudulenta.
¿Cómo se produjo el exploit?
GoPlus Security , la red de seguridad Web3 liderada por Binance , denunció el ataque e informó que una configuración incorrecta de la clave de verificación permitió al atacante falsificar las pruebas zkSNARK. Esto les permitió fabricar credenciales criptográficas dent el protocolo aceptaba como válidas y luego extraer trac volúmenes de tokens de los contratos trac .
La plataforma de seguridad blockchain, Certik, escribió en X : «La causa raíz podría ser la configuración delta2==gamma2 del verificador Groth16 en 0xc043865fb4D542E2bc5ed5Ed9A2F0939965671A6. Esto permite al explotador calcular el "pC" necesario para diferentes "nullifierHash" mientras que todas las demás entradas son las mismas, y recopilar tokens ZOOM repetidamente».
En resumen, un protocolo cuyo marketing enfatizaba la casi imposibilidad de revertir sus protecciones criptográficas fue destruido por una mala configuración.
Phalcon de BlockSec , que detectó transacciones sospechosas en ambas redes en tiempo real, indicó que el incidente dent ser un ataque de imitación. La empresa señaló que el ataque explotó la misma causa raíz previamente identificada dent la brecha de seguridad de Veil Cash , ocurrida unos días antes.
Aunque vale la pena mencionar que la violación de Veil Cash fue más limitada en escala, con pérdidas contenidas en una pequeña cantidad de ETH, supuestamente 2,9 ETH.
¿Qué esCash?
Foom.Cash se posiciona como un "Protocolo de Lotería Privada impulsado por ZKProof" que combina el anonimato de Zcash Cash privacidad independiente, la accesibilidad del DeFi de Ethereum y un mecanismo de recompensas aleatorias integrado.
Se promociona como una actualización de Tornado Cash y una alternativa a Zcash en Ethereum . Tornado Cash fue sancionado por el Departamento del Tesoro de EE. UU. en 2022, pero el departamento levantó las sanciones a la plataforma en marzo de 2025.
Según la plataforma, procesa más transacciones diarias que Tornado Cash, cuenta con más de ocho millones de dólares en liquidez y genera retornos anuales del 50 al 80% para los proveedores de liquidez.
La privacidad en DeFi ha experimentado un renovado interés, con Zcash registrando un aumento significativo de precio en los últimos meses, yCash buscó capitalizar esta tendencia ofreciendo privacidad de forma nativa dentro de la infraestructura existente de Ethereum.
La plataforma utilizó una variante específica llamada zkSNARKs, que es uno de los ingredientes clave detrás de las garantías de privacidad en protocolos bien establecidos como Zcash.
¿Qué está haciendoCash para recuperar fondos y resolver el exploit?
Hasta el momento, la única mención de una recuperación está vinculada a la segunda transacción de aproximadamente 1,83 millones de dólares, que según informan empresas de seguridad fue parte de una operación de rescate de sombrero blanco.
Sin embargo, el equipoCash aún no ha mencionado ni reconocido el ataque. Por lo tanto, al momento de escribir este artículo, no hay información sobre el alcance del impacto del protocolo ni sobre qué medidas está tomando para mitigar futuros ataques.
La recuperación de sombrero blanco sugiere que el equipo puede estar trabajando detrás de escena para recuperar los fondos y resolver los problemas subyacentes.
¿Quieres que tu proyecto esté presente en las mentes más brillantes del mundo de las criptomonedas? Preséntalo en nuestro próximo informe del sector, donde los datos se combinan con el impacto.
Artículos Recomendados
