Resumen
El Proyecto 0 dijo que los atacantes secuestraron una cuenta de GitHub y redirigieron a los visitantes a un sitio malicioso durante 40 minutos, causando al menos una pérdida de $1,000.
Desde Fusaka, la actividad de la red principal de Ethereum aumentó aproximadamente un 30%, las nuevas direcciones un 78%, y las transferencias de polvo de USDT saltaron un 612%, apuntando a un aumento en el envenenamiento de direcciones.
Los atacantes han generado $79 millones en pérdidas confirmadas a través de 17 millones de intentos, mostrando cómo el fraude barato y de alto volumen está remodelando el riesgo de Ethereum en la actualidad.
El Proyecto 0 se ha unido a plataformas de criptomonedas para descubrir cuán expuesto puede ser el riesgo en el front-end, y el último secuestro de dominio muestra cuán rápidamente una interfaz de confianza puede convertirse en un vector de robo. El fundador MacBrennan Peet dijo que los atacantes comprometieron la cuenta de GitHub de un miembro del equipo y redirigieron a los visitantes a un sitio web que drenaba billeteras durante una ventana de 40 minutos entre las 9:45 p.m. y las 10:19 p.m. Al menos un usuario perdió $1,000 después de visitar el sitio falsificado, y Peet dijo que las pérdidas verificadas serán reembolsadas completamente. Los vaults y las posiciones de los usuarios quedaron intactos, pero el incidente afectó a un protocolo con casi $90 millones bloqueados.
De 9:45PM a 10:19PM, la clave de github de un miembro del equipo de la aplicación fue comprometida. Esto permitió que un atacante redirigiera a los usuarios que visitaban el sitio web de P0 a un sitio web diferente.
Dentro de ese marco de tiempo de 40 minutos, identificamos rápidamente la compromisión y detenemos la redirección. Esta redirección...
— MacBrennan | P0 (@macbrennan_cc) 13 de marzo de 2026
Las vías más baratas de Ethereum están colisionando con un problema de fraude mayor.
Cuando la explotación ocurrió, aterrizó dentro de un entorno de Ethereum que ya luchaba contra un aumento en el envenenamiento de direcciones, y la alarma más grande es que la actividad barata parece estar facilitando el fraude a gran escala. Desde la actualización de Fusaka en diciembre de 2025, la actividad de la red principal de Ethereum ha aumentado aproximadamente un 30% y la creación de nuevas direcciones un 78% en 90 días. En ese mismo período posterior a la actualización, las transferencias de polvo de USDT saltaron de 4.2 millones a 29.9 millones, mientras que USDC aumentó de 2.6 millones a 14.9 millones y DAI de 142,000 a 811,000. Las transacciones más baratas parecen estar reduciendo el costo del acoso.
Ese patrón importa porque el envenenamiento de direcciones ya no es un caso extremo, y el modelo de ataque ahora parece industrial en lugar de oportunista. Una de las mayores pérdidas ocurrió en diciembre, cuando una víctima envió una transacción de prueba de $50 y luego perdió $50 millones después de que los atacantes insertaron actividad de billetera similar en el historial de la cuenta. Etherscan dijo que solo dos transferencias de stablecoin fueron suficientes para activar más de 89 correos electrónicos de alerta de vigilancia de direcciones. Solo alrededor de uno de cada 10,000 intentos tiene éxito, pero los atacantes ya han generado $79 millones en pérdidas confirmadas en 17 millones de intentos dirigidos a 1.3 millones de usuarios.
Para el Proyecto 0, la violación es un recordatorio de que los contratos inteligentes pueden mantenerse seguros mientras los usuarios son golpeados en la capa de interfaz, y por eso este incidente se siente más grande que un solo robo de $1,000. La redirección duró menos de una hora, las pérdidas parecen limitadas y se han prometido reembolsos. Sin embargo, el momento es brutal: el ecosistema rico en liquidez de Ethereum ahora sostiene casi $60 mil millones en valor DeFi y más de $160 mil millones en stablecoins, haciendo que cada dominio, sesión de navegador y entrada en el historial de transacciones sea más valioso para los atacantes que nunca. La ventana de explotación fue corta. La advertencia no fue.