ZetaChain confirmó el miércoles 29 de abril de 2026 que el vector de ataque utilizado en su reciente vulneración de seguridad había sido reportado previamente a través de su programa de recompensas por errores (bug bounty). Según el post-mortem publicado el 29 de abril de 2026, el equipo técnico desestimó la advertencia inicial al considerar que el comportamiento señalado era una funcionalidad prevista en el diseño del protocolo. El incidente resultó en una pérdida aproximada de 334.000 dólares ejecutada durante el domingo 26 de abril de 2026.
El ataque se centró en el contrato de gateway cross-chain de ZetaChain y se ejecutó mediante nueve transacciones distribuidas en Ethereum, Arbitrum, Base y BSC. Los fondos sustraídos provenían exclusivamente de monederos controlados por la entidad, por lo que el informe asegura que los activos de los usuarios no se vieron comprometidos durante el evento.
This bug was reported and they simply ignored it. That's how bug bounty programs work with these protocols currently; they incentivize losses for the protocol, the TVL, and the user's balance instead of paying the researcher for discovering and fixing the bug.
— Zero cool (@cr4shls0v3rr1d3) April 29, 2026
La respuesta de la comunidad no se hizo esperar; el usuario cr4shls0v3rr1d3 señaló en una publicación en la plataforma X que la desestimación de estos reportes incentiva pérdidas en lugar de recompensar la investigación que protege el Valor Total Bloqueado (TVL).
Anatomía de un exploit anunciado: los tres fallos de ZetaChain
El equipo de desarrollo identificó tres fallos de diseño específicos en su contrato de gateway que, al ser combinados, permitieron el drenaje de los fondos. Individualmente, estas debilidades no representaban un riesgo crítico inmediato, lo que explica por qué el reporte original fue clasificado erróneamente. Sin embargo, la combinación de permisos excesivos y falta de filtros de ejecución permitió al atacante manipular el flujo de activos entre cadenas de manera imprevista.
En primer lugar, el gateway permitía que cualquier usuario enviara instrucciones cross-chain arbitrarias sin restricciones de acceso. En segundo lugar, el sistema de ejecución en el destino contaba con una “lista de bloqueo” (blocklist) tan reducida que omitió funciones básicas de transferencia de tokens, permitiendo la ejecución de comandos sobre casi cualquier contrato. Finalmente, el diseño mantenía permisos de gasto ilimitados en billeteras que habían interactuado previamente con el gateway, una configuración que no se limpiaba tras las operaciones.
La preparación del ataque fue meticulosa y no respondió a una oportunidad fortuita. El atacante utilizó fondos depositados a través de Tornado Cash el 23 de abril, tres días antes de iniciar el exploit. Posteriormente, desplegó un contrato “drainer” diseñado específicamente para ZetaChain y realizó una campaña de “address poisoning” (envenenamiento de direcciones) mediante transferencias de polvo (dust) para camuflar sus movimientos en el historial de transacciones de las cuentas objetivo.
La recurrencia de errores humanos en la clasificación de riesgos, como el ocurrido en ZetaChain, coincide con un nuevo estudio publicado por a16z crypto sobre la capacidad de los agentes de inteligencia artificial para identificar y explotar vulnerabilidades en el sector DeFi. La investigación utilizó el modelo Codex de OpenAI contra un conjunto de 20 incidentes reales de manipulación de precios en la red Ethereum.
Los resultados demuestran que, sin una guía específica, la IA solo logra replicar ataques en un 10% de los casos. No obstante, al proporcionar al agente conocimiento estructurado sobre patrones de ataque comunes, la tasa de éxito del 10% al 70% aumentó drásticamente. Este hallazgo sugiere que la sofisticación de los ataques podría escalar rápidamente si las herramientas de IA son alimentadas con bases de datos técnicas de exploits conocidos, elevando la presión sobre los equipos de seguridad para que no ignoren reportes aparentemente menores.
Como medida correctiva, ZetaChain ha iniciado el despliegue de un parche en los nodos de la red principal (mainnet) que deshabilita permanentemente la funcionalidad de llamadas arbitrarias. Asimismo, el protocolo ha modificado su flujo de depósitos para sustituir las aprobaciones de tokens ilimitadas por aprobaciones de montos exactos. Estos ajustes buscan evitar que fallos aislados en la lógica de contratos inteligentes vuelvan a comprometer la tesorería, sumándose a las lecciones aprendidas en otros eventos de seguridad previos documentados en el ecosistema.
ZetaChain ha anunciado que revisará integralmente sus procesos de gestión de recompensas por errores para dar prioridad a los vectores de ataque encadenados. La implementación total del parche de seguridad y la actualización de los contratos de gateway en todas las redes soportadas se espera que finalicen antes del cierre de la presente semana de abril.
Este artículo tiene fines informativos y no constituye asesoramiento financiero.
