Saltar al contenido
Est. MMXXVIVol. VI · № 273RSS
Blockchain Breaches

Archivo de incidentes de seguridad en criptomonedas — hackeos, exploits, fallos de puentes y rug pulls, documentados con evidencia on-chain.

Expediente № 198Fallo de smart contract

Mint del operador en Holograph

Un fallo en el contrato operator de Holograph dejó a un atacante acuñar 1.000 M de tokens HLG, valor nominal de 14,4 M$. HLG cayó un 80% en nueve horas.

Fecha
Víctima
Holograph
Cadena(s)
Ethereum
Estado
Fondos robados

El 13 de junio de 2024 a las 09:47 UTC, un atacante no identificado comenzó a acuñar 1.000 millones de tokens HLG explotando una vulnerabilidad en el contrato Operator de Holograph. La acuñación ocurrió en nueve transacciones secuenciales; el HLG recién acuñado valía aproximadamente 14,4 millones de dólares en el momento del primer mint. En nueve horas desde que el exploit se hizo visible, el token HLG había caído ~80% conforme el mercado descontaba la dilución.

Qué ocurrió

Holograph era una plataforma de tokenización multicadena. Su contrato Operator manejaba operaciones de acuñación en los despliegues: una superficie privilegiada que debería haber estado bajo control de acceso estricto.

El vector técnico exacto nunca se detalló completamente en las divulgaciones del incidente del equipo, pero el patrón on-chain era directo: el atacante descubrió una ruta mediante la cual el contrato Operator acuñaba tokens HLG a un destino especificado por el atacante sin autorización adecuada. El atacante ejerció esa ruta nueve veces, acuñando 1.000 millones de HLG en total a direcciones que controlaba.

Aproximadamente cuatro horas después del exploit inicial, el atacante comenzó a intercambiar el HLG acuñado por USDT a través de agregadores DEX. Aproximadamente 1,3 M$ en USDT se cashearon con éxito antes de que la liquidez se secara; los ingresos se cambiaron luego a ~300 ETH y se distribuyeron en cuatro direcciones para lavado.

Consecuencias

  • HLG cayó de ~0,0149 $ a ~0,00296 $ intradía (una caída del 80%), recuperándose parcialmente a ~0,00646 $ en 24 horas conforme el equipo confirmó la remediación.
  • Holograph parcheó el contrato Operator y trabajó con los principales exchanges para congelar cuentas afectadas que habían recibido HLG acuñado.
  • El equipo lanzó un programa de compensación y reembolso para los usuarios afectados, aunque el colapso del precio impulsado por la dilución significó que incluso los usuarios reembolsados absorbieron pérdidas reales en sus tenencias previas al incidente.

Por qué importa

Holograph sigue el patrón del ataque mint-y-volcar que recurre cada vez que un protocolo expone cualquier ruta al suministro de su propio token nativo sin suficiente control de acceso:

  • PlayDapp (feb 2024) — clave admin robada acuñó 1,79 B PLA
  • Gala Games (may 2024) — rol MINTER inactivo acuñó 5 B GALA
  • Holograph (jun 2024) — vulnerabilidad del contrato operator acuñó 1 B HLG

La respuesta defensiva es consistente: separar el contrato del token de cualquier contrato operativo, proteger toda autoridad de acuñación con multi-firma con timelocks, y tratar cualquier dirección con capacidad mint() como una identidad privilegiada digna de monitoreo agresivo. El incidente de Holograph, tres meses después de PlayDapp y un mes después de Gala, sugirió que la lección aún se estaba aprendiendo en tiempo real.

Fuentes y evidencia on-chain

  1. [01]coinspeaker.comhttps://www.coinspeaker.com/holograph-plummets-hacker-1b-hlg/
  2. [02]news.bitcoin.comhttps://news.bitcoin.com/holograph-compromised-hlg-value-plummets-as-hacker-illegally-mints-1-billion-tokens/
  3. [03]bleepingcomputer.comhttps://www.bleepingcomputer.com/news/legal/hackers-linked-to-14m-holograph-crypto-heist-arrested-in-italy/

Registros relacionados