Saltar al contenido
Est. MMXXVIVol. VI · № 304RSS
Blockchain Breaches

Archivo de incidentes de seguridad en criptomonedas — hackeos, exploits, fallos de puentes y rug pulls, documentados con evidencia on-chain.

Expediente № 303Manipulación de oráculo

Manipulación del tipo de cambio de xStock en Edel Finance

Un atacante con un flash loan infló ~78x el tipo de cambio interno de wGOOGLx en Edel Finance y pidió prestado contra colateral ficticio, dejando unos 403.000 dólares de deuda incobrable.

Fecha
Víctima
Edel Finance
Cadena(s)
Estado
Fondos robados

El 1 de julio de 2026, Edel Finance — un protocolo de préstamos DeFi para acciones tokenizadas — fue explotado por aproximadamente 403.000 dólares después de que un atacante manipulara el tipo de cambio de su colateral de acciones de Google tokenizadas y envueltas, inflándolo unas 78× (cerca del 7.700 %) para pedir prestados activos reales contra un valor ficticio.

Qué ocurrió

Edel permite a los usuarios pedir prestado contra xStocks — acciones tokenizadas como GOOGLx, un token que replica la acción de Alphabet (Google)—. Como colateral, los prestatarios depositan wGOOGLx, una forma envuelta de GOOGLx custodiada en una bóveda ERC-4626. Edel derivaba el valor del colateral multiplicando un precio spot de Chainlink para GOOGLx por un tipo de cambio interno que regía la conversión GOOGLx ↔ wGOOGLx (la relación activos por acción de la bóveda).

De forma crucial, el feed de Chainlink era correcto: reportaba con exactitud el precio real de la acción de Alphabet en dólares. El fallo residía por completo en ese tipo de cambio interno del envoltorio. El atacante tomó un flash loan de 180.000 USDC de Morpho Blue y ejecutó repetidos ciclos de préstamo y redención, redimiendo wGOOGLx y donando GOOGLx de vuelta a la bóveda ERC-4626. Cada donación elevaba la relación activos por acción de la bóveda —de aproximadamente 6 a casi 79—, de modo que wGOOGLx pasó a valorarse en unas 78× su valor real. Contra ese colateral inflado, el atacante pidió prestadas las reservas reales del protocolo, dejando unos 403.000 dólares de deuda incobrable, y encaminó las ganancias hacia Tornado Cash.

Consecuencias

Edel afirmó haber detectado y contenido el exploit el mismo día y pausó todos los contratos v1. El equipo prometió que ningún depositante asumiría una pérdida —absorbería la deuda incobrable y restauraría los saldos afectados 1:1—, ofreció al atacante un acuerdo white-hat y dijo estar coordinándose con los exchanges. Edel también anunció una v2 con una arquitectura de oráculos rediseñada destinada a impedir esta clase de manipulación del tipo de cambio. Como los fondos robados se dirigieron hacia Tornado Cash en lugar de ser devueltos, el incidente se clasifica como una pérdida cubierta por el equipo y no como una recuperación.

Por qué importa

El colateral de activos del mundo real (RWA) tokenizados introduce una segunda superficie de precio —el tipo de cambio del envoltorio— que un oráculo externo correcto no protege. Es el mismo primitivo de precio por acción / inflación por donación de ERC-4626 que estuvo detrás de Resupply, donde una donación de crvUSD infló el precio por acción de una bóveda de préstamos para acuñar un préstamo desmesurado, y recuerda a los fallos de matemática de redención que vaciaron Thetanuts. A medida que las acciones se mueven on-chain como colateral, la lección es contundente: el precio debe validarse de extremo a extremo —cada conversión desde el oráculo hasta el valor del colateral es atacable—, y un feed de Chainlink impecable no vale nada si el tipo de cambio interno que se alimenta de él puede inflarse mediante donaciones.

Fuentes y evidencia on-chain

  1. [01]coindesk.comhttps://www.coindesk.com/tech/2026/07/01/tokenized-google-stock-inflated-7-700-in-rare-defi-lending-exploit
  2. [02]cryptotimes.iohttps://www.cryptotimes.io/2026/07/01/edel-finance-hacked-403k-stolen-as-attacker-moves-funds-to-tornado-cash/
  3. [03]ambcrypto.comhttps://ambcrypto.com/edel-finance-loses-403k-as-flash-loan-oracle-exploit-hits-xstock-lending-reserves/
  4. [04]crypto-economy.comhttps://crypto-economy.com/attacker-manipulates-tokenized-google-shares-to-drain-defi-lending-protocol/
  5. [05]x.comhttps://x.com/edeldotfinance/status/2072154468058022033

Registros relacionados