Saltar al contenido
Est. MMXXVIVol. VI · № 273RSS
Blockchain Breaches

Archivo de incidentes de seguridad en criptomonedas — hackeos, exploits, fallos de puentes y rug pulls, documentados con evidencia on-chain.

Expediente № 137Fallo de smart contract

Acuñación de la stablecoin DEI en DEUS DAO

El tercer incidente de DEUS DAO drenó 6,5 M$ en BNB, Arbitrum y Ethereum por un fallo de burnFrom/allowances en DEI que permitió abusar de las aprobaciones.

Fecha
Víctima
DEUS Finance
Cadena(s)
BNB ChainArbitrumEthereum
Estado
Fondos robados

El 5 de mayo de 2023, DEUS Finance / DEUS DAO sufrió su tercer exploit importante en aproximadamente catorce meses: aproximadamente 6,5 millones de dólares drenados en BNB Chain, Arbitrum y Ethereum mediante un fallo en la lógica de burnFrom/aprobaciones del contrato de la stablecoin DEI.

Qué ocurrió

El contrato de la stablecoin DEI de DEUS contenía una vulnerabilidad en cómo manejaba burnFrom y los allowances. El fallo específico permitía al atacante manipular la relación entre los allowances registrados y los saldos, de modo que podía extraer valor del contrato DEI y de los pools asociados en las tres cadenas donde DEI estaba desplegada.

El ataque drenó la mayor cantidad en BNB Chain (~5,45 M$), con cantidades menores en Arbitrum y Ethereum. DEI se despegó bruscamente conforme la extracción no respaldada golpeaba el mercado.

Este fue, definitivamente, el tercer incidente de DEUS DAO:

  • Marzo de 2022 (~3 M$) — manipulación de oráculo.
  • Abril de 2022 (13,4 M$) — manipulación de oráculo Solidly StableV1.
  • Mayo de 2023 (6,5 M$) — fallo de burnFrom/aprobaciones en el contrato DEI.

Consecuencias

  • DEUS pausó los contratos afectados y anunció (de nuevo) un plan de compensación.
  • La paridad de DEI no se restauró de forma duradera; la credibilidad del protocolo quedó efectivamente agotada con el tercer incidente.
  • Los fondos robados fueron lavados mediante rutas cross-chain y Tornado Cash.

Por qué importa

DEUS DAO es el caso más claro del catálogo de fragilidad por múltiples incidentes: tres exploits importantes en dos años, cada uno por un mecanismo específico distinto, pero todos reflejando la misma realidad sistémica: un equipo cuya remediación post-incidente abordó repetidamente el bug específico en lugar del déficit sistémico de seguridad.

La lección recurrente de los protocolos con incidentes repetidos (DEUS tres veces, Cream Finance tres veces en 2021, Abracadabra tres veces en 2024-2025, ALEX Lab dos veces) es consistente:

El primer exploit es un dato. El segundo es un patrón. El tercero es un veredicto. Un protocolo que ha sido explotado dos veces y lo es por tercera está demostrando que su cultura de seguridad —no un bug individual— es el problema, y a ese punto la confianza continua del usuario está, empíricamente, fuera de lugar.

La trayectoria de DEUS DAO —bug de oráculo, bug de oráculo, bug del contrato de la stablecoin, cada uno "arreglado", cada uno seguido de otro— es la ilustración canónica de que la velocidad de envío sin una inversión correspondiente en cultura de seguridad produce una secuencia predecible de incidentes, y de que la disposición del mercado a seguir depositando tras el segundo incidente es una de las irracionalidades costosas y recurrentes de DeFi.

Fuentes y evidencia on-chain

  1. [01]halborn.comhttps://www.halborn.com/blog/post/explained-the-deus-dao-hack-may-2023
  2. [02]crypto.newshttps://crypto.news/deus-finance-hacked-over-6m-dei-stablecoin-stolen/
  3. [03]rekt.newshttps://rekt.news/deus-dao-r3kt/

Registros relacionados