🚨 Alerta de caso real | 6.25 mil millones de dólares en ataque interno: ¿Cómo los desarrolladores incrustaron una puerta trasera en el contrato?
El año pasado, el proyecto de juego en la cadena Blast, Munchables, sufrió un ataque interno. Un desarrollador incrustó una puerta trasera maliciosa en el contrato del proyecto, robando todos los activos de la tesorería después de su lanzamiento: 17,400 ETH (aproximadamente 6.25 mil millones de dólares). Luego, bajo presión, el atacante devolvió inesperadamente todos los fondos.
🔍 Núcleo de la vulnerabilidad:
No fue una invasión de hackers, sino un “ataque a la cadena de suministro” planeado desde el primer día. El atacante se ganó la confianza como desarrollador principal e incrustó código malicioso como un “caballo de Troya” en el corazón del proyecto.
💡 Advertencia de seguridad principal:
La confianza debe ser verificada: para cualquier miembro clave con permiso para enviar código, la revisión técnica debe ser igual de rigurosa que la verificación de antecedentes.
Los permisos deben ser equilibrados: el control de la tesorería del proyecto no puede estar concentrado en una sola persona o una única clave. Se debe adoptar incondicionalmente una solución de gobernanza de “cartera multifirma + bloqueo de tiempo”.
La seguridad es un proceso continuo: una auditoría no puede garantizar la seguridad permanente. Se debe establecer un monitoreo continuo en cadena y un mecanismo de alerta en tiempo real para operaciones privilegiadas (como actualizaciones de contratos y transferencias grandes).