Saltar al contenido
Est. MMXXVIVol. VI · № 310RSS
Blockchain Breaches

Archivo de incidentes de seguridad en criptomonedas — hackeos, exploits, fallos de puentes y rug pulls, documentados con evidencia on-chain.

Expediente № 310Fallo de smart contract

Exploit del Vault CLS de Cascade

Un atacante drenó unos 1,34 millones de dólares en USDC del vault CLS de Cascade, un protocolo de perpetuos respaldado por Polychain en Arbitrum.

Fecha
Víctima
Cascade
Cadena(s)
Estado
Fondos robados

El 16 de julio de 2026, Cascade —un protocolo de perpetuos aún sin lanzar y respaldado por Polychain en Arbitrum— fue explotado por aproximadamente 1,34 millones de dólares cuando un atacante drenó USDC de su vault de liquidez CLS, afectando depósitos que los usuarios habían bloqueado antes del lanzamiento público de la plataforma.

Qué ocurrió

Cascade había recaudado una ronda semilla de 15 millones de dólares liderada por Polychain y Variant en diciembre de 2025 y seguía en una fase solo por invitación. Su CLS (Cascade Liquidity Strategy) se describe en la documentación del protocolo como el motor de liquidez nativo diseñado para respaldar la profundidad del libro de órdenes y los flujos de liquidación. Antes del lanzamiento público, usuarios de una campaña solo por invitación llamada «First Wave» habían predepositado USDC en Arbitrum en el vault CLS para ganar puntos de recompensa —fondos que estaban bloqueados hasta el inicio de la operativa, de modo que los depositantes afectados no tenían forma de retirar antes del ataque. Cascade confirmó un exploit que afectó al vault CLS y drenó unos 1,34 millones de USDC de fondos de usuarios; la causa raíz específica a nivel de contrato no se había divulgado por completo al momento de la publicación. El atacante movió luego el botín entre cadenas, puenteando de Arbitrum a Solana y de ahí a Ethereum a través del Relay Protocol, y convirtiéndolo en DAI por el camino —un patrón de blanqueo preferido porque el DAI no puede ser congelado por un emisor central como sí puede Circle incluir en listas negras las direcciones de USDC.

Consecuencias

Como los depósitos CLS drenados estaban preasignados y bloqueados, la pérdida recayó directamente sobre los primeros participantes de First Wave y no sobre la liquidez de trading en vivo. Al momento de la publicación, los fondos robados no habían sido recuperados, y la conversión a DAI a través de Solana hacía improbable un congelamiento o recuperación. El incidente proyectó una sombra inmediata sobre el lanzamiento público previsto de Cascade y planteó dudas sobre la revisión de seguridad de un vault que custodiaba capital de usuarios antes incluso de que la plataforma estuviera activa.

Por qué importa

Cascade ocurrió apenas un día después de Ostium, otra plataforma de perpetuos de Arbitrum pausada tras un exploit de oráculo —dos golpes en la misma cadena y sector en 48 horas. Subraya un tema recurrente del catálogo: los vaults previos al lanzamiento y de farming de incentivos concentran capital de usuarios en contratos que aún no han enfrentado presión adversaria real, lo que los convierte en objetivos tempranos atractivos. La ruta de blanqueo entre cadenas de USDC a DAI a través de Solana refleja la vía de salida del exploit de Summer.fi de días antes, mostrando cómo los atacantes se estandarizan cada vez más en activos no congelables para asegurar las ganancias antes de que empiecen los esfuerzos de recuperación.

Fuentes y evidencia on-chain

  1. [01]cryptotimes.iohttps://www.cryptotimes.io/2026/07/16/polychain-backed-cascade-hacked-for-1-34m-in-locked-user-funds/
  2. [02]protos.comhttps://protos.com/more-oracle-exploits-as-ostium-loses-over-20m/

Registros relacionados