El 16 de julio de 2026, Cascade —un protocolo de perpetuos aún sin lanzar y respaldado por Polychain en Arbitrum— fue explotado por aproximadamente 1,34 millones de dólares cuando un atacante drenó USDC de su vault de liquidez CLS, afectando depósitos que los usuarios habían bloqueado antes del lanzamiento público de la plataforma.
Qué ocurrió
Cascade había recaudado una ronda semilla de 15 millones de dólares liderada por Polychain y Variant en diciembre de 2025 y seguía en una fase solo por invitación. Su CLS (Cascade Liquidity Strategy) se describe en la documentación del protocolo como el motor de liquidez nativo diseñado para respaldar la profundidad del libro de órdenes y los flujos de liquidación. Antes del lanzamiento público, usuarios de una campaña solo por invitación llamada «First Wave» habían predepositado USDC en Arbitrum en el vault CLS para ganar puntos de recompensa —fondos que estaban bloqueados hasta el inicio de la operativa, de modo que los depositantes afectados no tenían forma de retirar antes del ataque. Cascade confirmó un exploit que afectó al vault CLS y drenó unos 1,34 millones de USDC de fondos de usuarios; la causa raíz específica a nivel de contrato no se había divulgado por completo al momento de la publicación. El atacante movió luego el botín entre cadenas, puenteando de Arbitrum a Solana y de ahí a Ethereum a través del Relay Protocol, y convirtiéndolo en DAI por el camino —un patrón de blanqueo preferido porque el DAI no puede ser congelado por un emisor central como sí puede Circle incluir en listas negras las direcciones de USDC.
Consecuencias
Como los depósitos CLS drenados estaban preasignados y bloqueados, la pérdida recayó directamente sobre los primeros participantes de First Wave y no sobre la liquidez de trading en vivo. Al momento de la publicación, los fondos robados no habían sido recuperados, y la conversión a DAI a través de Solana hacía improbable un congelamiento o recuperación. El incidente proyectó una sombra inmediata sobre el lanzamiento público previsto de Cascade y planteó dudas sobre la revisión de seguridad de un vault que custodiaba capital de usuarios antes incluso de que la plataforma estuviera activa.
Por qué importa
Cascade ocurrió apenas un día después de Ostium, otra plataforma de perpetuos de Arbitrum pausada tras un exploit de oráculo —dos golpes en la misma cadena y sector en 48 horas. Subraya un tema recurrente del catálogo: los vaults previos al lanzamiento y de farming de incentivos concentran capital de usuarios en contratos que aún no han enfrentado presión adversaria real, lo que los convierte en objetivos tempranos atractivos. La ruta de blanqueo entre cadenas de USDC a DAI a través de Solana refleja la vía de salida del exploit de Summer.fi de días antes, mostrando cómo los atacantes se estandarizan cada vez más en activos no congelables para asegurar las ganancias antes de que empiecen los esfuerzos de recuperación.
Fuentes y evidencia on-chain
- [01]cryptotimes.iohttps://www.cryptotimes.io/2026/07/16/polychain-backed-cascade-hacked-for-1-34m-in-locked-user-funds/
- [02]protos.comhttps://protos.com/more-oracle-exploits-as-ostium-loses-over-20m/