Saltar al contenido
Est. MMXXVIVol. VI · № 273RSS
Blockchain Breaches

Archivo de incidentes de seguridad en criptomonedas — hackeos, exploits, fallos de puentes y rug pulls, documentados con evidencia on-chain.

Expediente № 253Compromiso de clave privada

Toma del contrato de GANA Payment

Probable robo de clave dio a los atacantes el control del contrato de GANA Payment en BSC; manipularon tasas de recompensa y drenaron 3,1 M$ vía unstake.

Fecha
Víctima
GANA Payment
Cadena(s)
BNB ChainEthereum
Estado
Fondos robados

En noviembre de 2025, la plataforma de pagos DeFi basada en BSC GANA Payment perdió aproximadamente 3,1 millones de dólares cuando un atacante tomó control del contrato inteligente del proyecto —muy probablemente mediante robo de clave privada que permitió la transferencia de propiedad del contrato— y usó el acceso para manipular las tasas de recompensa y extraer tokens GANA en exceso a través de la función unstake. El token GANA cayó un 90% tras el suceso.

Qué ocurrió

GANA Payment era una plataforma DeFi enfocada en pagos que permitía a los usuarios stakear tokens GANA y ganar recompensas. El contrato era relativamente reciente en el momento del ataque, con un TVL limitado pero una base de usuarios significativa.

La cadena de ataque, identificada públicamente por ZachXBT, sugería una toma de propiedad del contrato más que un bug a nivel de código del contrato inteligente:

  1. El atacante obtuvo autoridad para transferir la propiedad de los contratos centrales de GANA Payment, probablemente vía robo de clave privada de la wallet deployer/operadora del proyecto.
  2. Con la propiedad en su poder, manipuló los parámetros de tasa de recompensa del protocolo para inflar el GANA distribuido por operación de unstake.
  3. Llamó a la función unstake repetidamente, recibiendo recompensas de tokens GANA enormemente excesivas en relación con el comportamiento legítimo de los usuarios.
  4. Cambió los tokens GANA recién acuñados como recompensa por USDC, USDT y ETH a través de la liquidez DEX.

Los ingresos se lavaron por una ruta de múltiples pasos:

  • ~1 M$ enviado a través de Tornado Cash en BSC.
  • Bridgeado el resto a Ethereum.
  • ~1 M$ adicional depositado en Tornado Cash en Ethereum.
  • 346 ETH (~1,05 M$) quedaron en una wallet de Ethereum en el momento del reporte público, posiblemente conservados para ser mezclados después.

Consecuencias

  • El precio del token GANA cayó aproximadamente un 90% conforme el mercado descontó la emisión de tokens no sancionada.
  • El protocolo cesó efectivamente operaciones.
  • Sin recuperación pública desde las wallets del atacante.

Por qué importa

El incidente de GANA Payment es uno de muchos casos de 2025-2026 que comparten un patrón recurrente: las plataformas DeFi de pagos con estructuras de propiedad estilo hot wallet son objetivos cada vez más atractivos para operadores alineados con estados especializados en robo de claves privadas.

La lección estructural, bien documentada pero cada vez más importante a medida que se lanzan más proyectos de "pagos DeFi":

  1. La propiedad del contrato para protocolos de enrutamiento de pagos es operacionalmente significativa incluso cuando el proyecto se vende como descentralizado. Si una sola clave puede cambiar parámetros de recompensa, acuñar suministro adicional o actualizar la implementación del contrato, esa clave es parte del modelo de confianza del protocolo.
  2. Multi-firma con timelock para transferencias de propiedad es una implementación de una línea que derrota la mayoría de escenarios de compromiso de claves: el atacante necesitaría las firmas multi-firma y esperar el período de timelock, durante el cual los monitores on-chain pueden detectar y responder.
  3. Los cambios de parámetros de tasa de recompensa deberían tener topes y rate-limits: igual que los bancos centrales modernos tienen reglas de cambio de tipos que no pueden mover la política más de una cantidad definida por reunión, el ataque estilo GANA Payment habría estado acotado si los parámetros de recompensa hubieran tenido límites superiores rígidos aplicados en el contrato.

La detección liderada por ZachXBT también es notable: a finales de 2025, los investigadores independientes on-chain se han convertido en una capa de detección primaria significativa para incidentes DeFi, sacando a menudo a la luz brechas antes de que los propios proyectos afectados las divulguen públicamente. La dinámica es estructuralmente similar al periodismo de investigación, y produce algunas de las mismas tensiones de ritmo de divulgación entre los investigadores y las entidades que cubren.

Fuentes y evidencia on-chain

  1. [01]halborn.comhttps://www.halborn.com/blog/post/explained-the-gana-payment-hack-november-2025
  2. [02]theblock.cohttps://www.theblock.co/post/379619/gana-payment-exploit
  3. [03]thecryptobasic.comhttps://thecryptobasic.com/2025/11/20/zabih-new-defi-player-gana-payment-suffers-multi-million-dollar-hack/

Registros relacionados