Saltar al contenido
Est. MMXXVIVol. VI · № 273RSS
Blockchain Breaches

Archivo de incidentes de seguridad en criptomonedas — hackeos, exploits, fallos de puentes y rug pulls, documentados con evidencia on-chain.

Expediente № 203Reentrancy

Bug reintroducido en los IBC Hooks de Astroport

Un atacante extrajo $6,4M de Astroport en Terra vía una reentrada en IBC hooks parcheada en abril y reintroducida en una actualización de junio. ASTRO cayó 60%.

Fecha
Víctima
Astroport
Cadena(s)
Terra
Estado
Parcialmente recuperado

El 30 de julio de 2024, el DEX basado en Cosmos Astroport — desplegado en Terra (Phoenix) — perdió aproximadamente 6,4 millones de dólares a través de una vulnerabilidad de reentrada en la ruta de timeout-callback de los IBC hooks. La vulnerabilidad había sido identificada y parcheada en abril de 2024 y luego reintroducida accidentalmente en una actualización de junio. Los validadores de Terra detuvieron la cadena en respuesta.

Qué ocurrió

El flujo de depósito y trading de Astroport en Terra usaba IBC hooks — una primitiva de Cosmos que permite que los mensajes cross-chain activen ejecución de contratos en la cadena receptora. Específicamente, cuando una transferencia IBC a Astroport expiraba, el callback de timeout del protocolo gestionaba la lógica de reembolso.

La vulnerabilidad vivía en este callback de timeout: bajo condiciones específicas, un atacante podía re-entrar en los contratos de Astroport en mitad del callback y conjurar tokens de la nada — manipulando la contabilidad del protocolo en la ventana en que se procesaba el timeout pero el estado aún no se había finalizado.

La historia completa del bug:

  • Identificado y parcheado en abril de 2024 — el equipo de Astroport había detectado el problema y enviado una corrección.
  • Reintroducido en una actualización de junio de 2024 — el parche fue inadvertidamente revertido o sobrescrito cuando se fusionaron cambios posteriores.
  • Explotado el 30 de julio de 2024 — el atacante (presumiblemente consciente del problema histórico y monitorizando su reaparición) drenó aproximadamente $6,4M.

El drenaje incluyó:

  • 60 millones de tokens ASTRO (el activo nativo de Astroport)
  • $3,5M USDC
  • $500K USDT
  • 2,7 BTC

Consecuencias

  • Los validadores de Terra detuvieron la cadena en cuestión de horas tras identificarse públicamente el exploit — ejerciendo la misma capacidad de pausa de emergencia que se había utilizado previamente durante el colapso original de Terra.
  • Aproximadamente 33 millones de ASTRO habían sido puenteados a Neutron antes de la detención; estos fueron posteriormente incautados a la Tesorería de Astroport.
  • 13 millones de ASTRO fueron intercambiados por ~124.000 axlUSDC y puenteados a Ethereum.
  • 20 millones de ASTRO que quedaron en Terra fueron incluidos en blacklist y vueltos no movibles.
  • La dirección Terra del atacante fue incluida en blacklist para impedir más transacciones.
  • La vulnerabilidad de IBC Hook fue re-parcheada (esta vez, presumiblemente con tests de regresión para prevenir futura reintroducción).

Por qué importa

El incidente de Astroport es uno de los casos más claros de por qué las vulnerabilidades parcheadas requieren pruebas de regresión explícitas. La corrección de abril de 2024 había sido claramente validada en su momento; la actualización de junio introdujo código nuevo sin verificar que los parches históricos se preservaran. El resultado: una vulnerabilidad conocida vivió en producción durante aproximadamente 8 semanas antes de que alguien la explotara.

Las lecciones estructurales:

  1. Los bugs parcheados deberían añadirse al suite permanente de pruebas de regresión del protocolo, no solo resolverse como correcciones puntuales.
  2. Las revisiones de actualizaciones deberían incluir verificación explícita de que las rutas de código previamente parcheadas aún tienen sus parches en su lugar.
  3. Las divulgaciones públicas de vulnerabilidades (incluso después de parchearse) crean conciencia en atacantes — los operadores sofisticados monitorizan los historiales de commits de parches para buscar oportunidades de atacar reintroducciones o problemas relacionados. La brecha de 8 semanas entre la actualización de junio y el exploit de julio sugiere monitorización deliberada más que coincidencia.

La respuesta de detención por validadores también es notable — el set de validadores más pequeño y coordinado de Terra pudo tomar acciones que no serían posibles en Ethereum o Solana. Como con Cetus en Sui en 2025, la intervención a nivel de cadena por parte de validadores es una defensa viable en cadenas más pequeñas pero conlleva trade-offs en torno a la descentralización que la comunidad acepta (o no) caso por caso.

Fuentes y evidencia on-chain

  1. [01]quillaudits.comhttps://www.quillaudits.com/blog/hack-analysis/astroport-hack
  2. [02]theblock.cohttps://www.theblock.co/post/308440/attacker-exploits-ibc-hooks-vulnerability-to-steal-tokens-on-terra-blockchain
  3. [03]cryptoslate.comhttps://cryptoslate.com/terra-resumes-operations-after-5m-security-breach-triggers-astroport-token-plunge/

Registros relacionados