Saltar al contenido
Est. MMXXVIVol. VI · № 312RSS
Blockchain Breaches

Archivo de incidentes de seguridad en criptomonedas — hackeos, exploits, fallos de puentes y rug pulls, documentados con evidencia on-chain.

Expediente № 311Fallo de smart contract

Exploit de los pools de préstamo de DeFiTuna

Un atacante drenó unos 580.000 dólares en USDC de los pools de préstamo de DeFiTuna en Solana, aprovechando su lógica de préstamo y dejando el pool de USDC en déficit.

Fecha
Víctima
DeFiTuna
Cadena(s)
Estado
Fondos robados

El 16 de julio de 2026, DeFiTuna — un protocolo de trading apalancado y préstamo basado en Solana — fue explotado por aproximadamente 580.000 dólares cuando un atacante aprovechó una debilidad en su lógica de préstamo para autorizar transferencias no autorizadas desde el pool de préstamo de USDC del protocolo.

Qué ocurrió

DeFiTuna permite a los usuarios depositar en pools de préstamo cuya liquidez respalda posiciones de préstamo apalancado en otras partes de la plataforma. En lugar de comprometer carteras de usuarios, hacer phishing o robar una clave privada, el atacante apuntó a los propios contratos de préstamo del protocolo, manipulando la lógica contable para mover unos 580.000 dólares en USDC fuera del pool sin un derecho legítimo sobre ellos. Como la liquidez drenada era el respaldo de los prestatarios, los retiros dejaron el pool de USDC con un déficit: sus obligaciones con los depositantes ahora superan los activos realmente disponibles, la misma dinámica de faltante que puede desencadenar una corrida bancaria cuando los usuarios compiten por retirar primero. Cabe destacar que DeFiTuna había completado una auditoría independiente de contratos inteligentes por parte de Sec3 durante 2025, pero la infraestructura de préstamo defectuosa habría sido modificada de forma significativa tras esa auditoría, y esos contratos actualizados no formaban parte de la revisión original: una brecha que dejó sin examinar la ruta de código modificada.

Consecuencias

DeFiTuna dijo que su equipo identificó y mitigó rápidamente el vector de ataque, activando procedimientos de emergencia para aislar los contratos afectados y evitar más pérdidas; una investigación más profunda está en curso. Al momento de la publicación, los fondos robados no se habían recuperado, y el protocolo no había detallado si respaldaría el pool o socializaría la pérdida entre los depositantes. El incidente se sitúa en el extremo menor del balance de exploits de 2026 por valor en dólares, pero el déficit recae directamente sobre los prestamistas de USDC.

Por qué importa

DeFiTuna encaja en un patrón de ataques de 2026 contra las mecánicas de préstamo y la contabilidad de los protocolos en lugar de contra los exchanges descentralizados directamente: la misma clase de fallo detrás del exploit de contabilidad de vaults de Summer.fi días antes y del drenaje de préstamo alimentado por oráculo en Bonzo Lend. También llega en medio de una etapa dura para el DeFi de Solana, tras la compromisión mucho mayor de Drift Protocol. La brecha de auditoría es la lección más aguda: una auditoría limpia solo cubre el código que se auditó, y los cambios posteriores a la auditoría en la ruta más sensible de un pool de préstamo reabren exactamente el riesgo que la revisión debía cerrar.

Fuentes y evidencia on-chain

  1. [01]cryptotimes.iohttps://www.cryptotimes.io/2026/07/17/solana-protocol-defituna-hit-by-580k-exploit-usdc-pool-left-short/
  2. [02]cryptobriefing.comhttps://cryptobriefing.com/defituna-lending-pools-exploited-580k/
  3. [03]hokanews.comhttps://www.hokanews.com/2026/07/defituna-hack-rocks-solana-as-580k.html

Registros relacionados