En el dinámico y en constante evolución mundo de las finanzas descentralizadas (DeFi), la seguridad sigue siendo uno de los mayores desafíos. Recientemente, se confirmó que un hacker implicado en la explotación de Voltage Finance, un protocolo de préstamo descentralizado, movió 100 Ether (ETH), valorados en aproximadamente $182,000, a través del mezclador Tornado Cash, lo que resaltó una vez más las vulnerabilidades existentes en los sistemas DeFi y la compleja interacción con herramientas de privacidad en blockchain. Voltage Finance sufrió un ataque significativo en 2022, donde el explotador logró sustraer alrededor de $4.67 millones mediante una vulnerabilidad en el protocolo. El exploit se basó en un fallo en la implementación del estándar de token ERC677, específicamente al aprovechar una función de callback integrada que permitió realizar un ataque de reingreso (reentrancy attack).
Este método de hackeo es notoriamente peligroso porque permite a los atacantes interferir con la lógica del contrato inteligente durante una operación en curso, lo que resulta en retiros múltiples de fondos antes de que se actualicen los saldos. Tras el ataque original, el hacker dejó la escena por un periodo extendido, manteniendo inactiva la dirección utilizada para almacenar los fondos robados durante aproximadamente 166 días. Sin embargo, recientemente se detectó que el explotador efectuó una transferencia a Tornado Cash, un mezclador que ofrece anonimato para las transacciones cripto, dificultando la trazabilidad de los fondos y, por ende, aumentando la dificultad de recuperación por parte de las autoridades y las víctimas. Un aspecto crucial que resalta este incidente es el uso de Tornado Cash, un protocolo controversial por su capacidad para romper la transparencia inherente a las cadenas de bloques públicas como Ethereum. Si bien Tornado Cash ofrece una capa de privacidad valiosa para usuarios legítimos preocupados por su confidencialidad, también se ha convertido en una herramienta utilizada frecuentemente para blanquear fondos obtenidos mediante actividades ilícitas, incluyendo hacks y estafas.
La comunidad de blockchain y las firmas de seguridad han estado monitoreando de cerca estas transferencias. CertiK, una reconocida empresa especializada en la auditoría de contratos inteligentes y protección blockchain, informó que el movimiento de los 100 ETH fue realizado desde una dirección vinculada con el ataque, confirmando así que el explotador trató de blanquear parte del botín. La confirmación no solo identifica el destino final de los fondos sino que también subraya la importancia de una vigilancia continua y herramientas de análisis blockchain para rastrear movimientos sospechosos. Voltage Finance, por su parte, ha adoptado una postura activa frente a este incidente. Tras el primer ataque, el protocolo reportó el robo de varias stablecoins como USDC y Binance USD (BUSD), además de tokens WBTC y ETH.
Para mitigar el daño y tratar de recuperar los activos, la plataforma intentó bloquear la dirección del explotador en diversas exchanges y contactó con el atacante buscando negociar una recompensa por la devolución de los fondos. No obstante, la situación se complicó aún más en marzo de 2025, cuando Voltage Finance sufrió un segundo ataque relacionado con sus Simple Staking pools, donde se perdieron otros $322,000. En este escenario, el protocolo se pronunció ofreciendo una recompensa de $50,000 a quien devuelva los activos y afirmó haber identificado a un posible desarrollador involucrado, aunque sin confirmarlo formalmente. Este hecho demuestra cómo las vulnerabilidades pueden persistir en distintas áreas de un mismo sistema DeFi, y cómo la seguridad operativa debe fortalecer cada uno de sus componentes con un rigor extremo. Estos ataques representan un reflejo del incremento exponencial en los incidentes de seguridad dentro del ecosistema DeFi.
En abril de 2025, las pérdidas globales por hacks y exploits sumaron cerca de $92 millones, con un caso sobresaliente de robo de 3,520 Bitcoins (cerca de $330 millones), perpetrado mediante técnicas avanzadas de ingeniería social. Excluyendo ese incidente masivo, se observó un aumento del 21% en pérdidas respecto a marzo, totalizando aproximadamente $34 millones. Sin embargo, no todas las noticias son pesimistas. Hay reportes positivos como el regreso de fondos robados de KiloEx, un exchange descentralizado, cuyo atacante devolvió cerca de $7.5 millones pocas horas después del robo.
Asimismo, la ZKsync Association logró recuperar $5 millones en tokens sustraídos de un incidente de seguridad relacionado con la distribución de airdrops. Estas acciones muestran que la colaboración entre comunidades, empresas de seguridad y desarrolladores es posible y necesaria para enfrentar las amenazas. La transferencia de fondos del hacker de Voltage Finance hacia Tornado Cash pone de manifiesto la persistente interacción entre transparencia y privacidad en el mundo de las criptomonedas. Por un lado, la trazabilidad es una herramienta esencial para combatir fraudes y recuperar activos; por otro, la privacidad garantiza la protección de usuarios legítimos contra censura o robos. Para los usuarios, este caso subraya la importancia de ser conscientes sobre los riesgos inherentes a la DeFi, incluyendo la necesidad de evaluar exhaustivamente la seguridad de protocolos antes de depositar fondos y mantener una vigilancia activa sobre sus inversiones.
