TAC etiqueta el exploit de $2.8M en el puente como un incidente de sombrero blanco mientras el hacker reclama un 10% de recompensa

TAC, un protocolo cruzado que se ha comercializado como un puente entre TON y Ethereum, ha reclasificado ahora su exploit de $2.8 millones del 12 de mayo como un evento de sombrero blanco, después de que el hacker aparentemente aceptara la oferta del equipo de quedarse con el 10% de los fondos "movidos" a cambio de devolver el resto a sus wallets multisig.
Según las divulgaciones de TAC sobre el evento, la explotación apuntó al lado TON de su capa cruzada, drenando fondos de USDT, BLUM y tsTON. TAC dijo que la vulnerabilidad estaba aislada a los Jettons nativos de TON que fueron puenteados desde la red TON, y que el token TAC, TON y todos los tokens ERC-20 no se vieron afectados.
El token TAC ha recibido un golpe desde el exploit, con un precio cayendo más del 21% en la última semana. La capitalización de mercado ha bajado a $79 millones desde más de $91 millones antes de la divulgación del hack el 12 de mayo.
El valor total bloqueado de TAC se sitúa en aproximadamente $2.74 millones a partir del 14 de mayo, según DefiLlama, lo que significa que el exploit de $2.8 millones equivalía aproximadamente al TVL completo del protocolo.
¿Cómo ocurrió el exploit del TAC Protocol?
TAC reveló por primera vez que había sido hackeado el 12 de mayo. El mensaje del equipo en X afirmaba que habían pausado el puente tras recibir reportes de socios de seguridad. El equipo se movió rápidamente para calmar los temores insistiendo en que el problema era limitado, afectando solo a un subconjunto de activos puenteados en lugar de a la infraestructura más amplia del protocolo.
En cuanto a cómo manejarían los próximos días, el equipo del TAC Protocol dijo: 'Nuestro enfoque es hacer que los usuarios estén enteros y restaurar completamente la liquidez del puente a través de una venta estructurada legalmente de las reservas del tesoro del token TAC de la Fundación.'
Para el 14 de mayo, TAC tenía buenas noticias que compartir. El equipo dijo que después de que el explotador aceptara su oferta de devolver los fondos a la billetera multisig designada en Ethereum y a una dirección correspondiente en TON, tomaron la decisión de no seguir con litigios, una decisión que coordinaron con sus socios de seguridad y las autoridades.
Con los reembolsos, el hackeo del TAC Protocol rápidamente pasó de un exploit a un incidente de sombrero blanco, con una recompensa del 10% ofrecida como incentivo, que equivale a aproximadamente 13 ETH + 300 ZEC.
Es práctica estándar en Web3 ofrecer a los hackers un porcentaje de los fondos robados a cambio de devolver la mayoría del botín. Transit Finance tomó una hoja de ese libro a principios de esta semana después de perder $1.88 millones de un contrato inteligente TRON deprecado. El equipo envió un mensaje en la cadena a su atacante ofreciendo un porcentaje de los fondos robados como recompensa por bugs a cambio de cooperación, con una ventana de respuesta de 48 horas.
Los hackers arrastran los protocolos cross-chain por el desagüe.
El exploit de TAC se suma a un patrón de vulnerabilidades en puentes y cross-chain a principios de mayo de 2026. Transit Finance atribuyó su brecha a un contrato que había sido deprecado desde 2022 pero que aún contenía código explotable. La firma de seguridad GoPlus Security señaló dos compromisos de claves privadas el 12 de mayo que totalizaban $238,000, y la empresa de seguridad blockchain Blockaid identificó un exploit de $456,000 en el contrato proxy Diamond no inicializado de Aurellion Labs en Arbitrum, según el reporte de Cryptopolitan.
Las pérdidas siguen a un abril complicado. CertiK reportó aproximadamente $651 millones perdidos por exploits en todo el sector ese mes, la cifra más alta desde marzo de 2022, excluyendo el incidente de Bybit en febrero de 2025. El exploit del puente KelpDAO ($293 millones) y el hackeo del Drift Protocol ($285 millones) fueron responsables de la mayor parte del daño de abril.
Los incidentes individuales de mayo son más pequeños en comparación, pero la frecuencia sugiere que las condiciones subyacentes que permitieron las pérdidas récord de abril no han sido abordadas.
El puente del TAC Protocol sigue pausado. El equipo no ha revelado un cronograma para reanudar operaciones, pero dijo que dirigirá el saldo restante, menos la recompensa del sombrero blanco, a sus billeteras multisig.
No solo leas noticias de cripto. Compréndelas. Suscríbete a nuestro boletín. Es gratis.