Compromiso de clave multicadena en Dego Finance
Un compromiso de clave privada drenó 10 M$ de Dego Finance en Ethereum y BNB Chain, barriendo pools de liquidez y wallets de usuarios con aprobaciones activas.
- Fecha
- Víctima
- Dego Finance
- Estado
- Fondos robados
El 10 de febrero de 2022, el protocolo NFT y DeFi multicadena Dego Finance perdió aproximadamente 10 millones de dólares cuando un atacante comprometió las claves privadas que controlaban las operaciones del protocolo en Ethereum y BNB Chain. El atacante drenó tanto la liquidez en manos del protocolo como las wallets de los usuarios que habían concedido aprobaciones de tokens a los contratos de Dego.
Qué ocurrió
Dego Finance operaba productos NFT y de yield en varias cadenas, con operaciones privilegiadas protegidas por claves alojadas en la infraestructura de firma del equipo. El atacante obtuvo estas claves; el vector específico de compromiso (malware en endpoint, phishing, brecha de infraestructura) no se detalló públicamente.
Con las claves en su poder, el atacante ejecutó un drenaje doble:
- Liquidez del protocolo: drenó directamente los pools de liquidez del token DEGO en Ethereum y BNB Chain.
- Aprobaciones de usuarios: para los usuarios que habían concedido a los contratos de Dego aprobaciones de tokens ilimitadas (el patrón estándar para cualquier protocolo DeFi que mueva tokens de usuarios), el atacante usó el acceso privilegiado comprometido para ejecutar
transferFromsobre los saldos aprobados de esos usuarios hacia direcciones controladas por el atacante.
El drenaje combinado en ambas cadenas totalizó aproximadamente 10 millones de dólares en activos mixtos.
Consecuencias
- Dego Finance pausó las operaciones y aconsejó a todos los usuarios revocar las aprobaciones de tokens a sus contratos de inmediato.
- El token DEGO cayó bruscamente conforme el mercado descontaba el compromiso del protocolo.
- No hubo recuperación pública desde las wallets del atacante; los fondos fueron lavados mediante mezcladores estándar.
Por qué importa
El incidente de Dego Finance ilustra el patrón recurrente "clave comprometida + aprobaciones de usuarios = doble drenaje" que ha producido pérdidas durante toda la era de DeFi:
- Furucombo (feb 2021) — delegatecall malicioso drenó a usuarios que habían aprobado.
- Dego Finance (feb 2022) — el compromiso de clave drenó tanto al protocolo como a los usuarios que habían aprobado.
- Transit Swap (oct 2022) — falta de validación permitió a cualquier llamador drenar aprobaciones.
- LI.FI (jul 2024) — bug en un facet drenó wallets con aprobaciones infinitas.
La lección estructural, repetida durante años: cuando un protocolo retiene aprobaciones de tokens de los usuarios, un compromiso de las claves privilegiadas del protocolo es también un compromiso de cada usuario que lo aprobó. El radio de impacto de un compromiso de claves no es "la tesorería del protocolo", sino "la tesorería del protocolo más los saldos aprobados de cada usuario que dio aprobación".
Las respuestas defensivas —aprobaciones acotadas, permits EIP-2612 con expiración, patrones de aprobación por transacción e higiene regular de revocación de aprobaciones— existen todas para limitar este radio de impacto. Las wallets modernas usan aprobaciones acotadas por defecto en parte por el coste acumulado de incidentes como Dego Finance, donde usuarios que habían concedido hace tiempo una "aprobación ilimitada" a un protocolo que ya no usaban fueron drenados años después cuando las claves del protocolo fueron finalmente comprometidas.
Fuentes y evidencia on-chain
- [01]halborn.comhttps://halborn.com/explained-the-dego-finance-hack-february-2022/
- [02]cryptopotato.comhttps://cryptopotato.com/defi-project-dego-finance-hacked-exploiters-reportedly-drain-over-10m/
- [03]cryptobriefing.comhttps://cryptobriefing.com/bsc-ethereum-defi-projects-hit-14-4m-hack/