Saltar al contenido
Est. MMXXVIVol. VI · № 273RSS
Blockchain Breaches

Archivo de incidentes de seguridad en criptomonedas — hackeos, exploits, fallos de puentes y rug pulls, documentados con evidencia on-chain.

Expediente № 219Phishing / Ingeniería social

Listado de LBTC falso en Ionic Money

8,6 M$ extraídos de Ionic Money en Mode tras suplantar a Lombard Finance durante semanas, conseguir listar un LBTC falso y pedir prestado contra él.

Fecha
Víctima
Ionic Money
Cadena(s)
Mode
Estado
Fondos robados

En febrero de 2025, la plataforma de préstamo basada en Mode Ionic Money —antes Midas Capital— fue explotada por aproximadamente 8,6 millones de dólares (Rekt lista 6,94 M$) mediante una operación de ingeniería social de varias semanas. Los atacantes suplantaron a miembros del equipo de Lombard Finance, mantuvieron discusiones de desarrollo de negocio durante "varias semanas" y, en última instancia, engañaron a Ionic para que listara un token LBTC falso como colateral. Luego depositaron 250 de su LBTC falso y pidieron prestados activos reales contra él.

Qué ocurrió

La cadena de ataque corrió a una escala temporal mayor que los exploits cripto típicos:

  1. Contacto inicial: los atacantes contactaron a Ionic Money haciéndose pasar por representantes de Lombard Finance, proponiendo listar LBTC (el producto wrapped Bitcoin de Lombard) como colateral en Ionic.
  2. Desarrollo de negocio: los suplantadores pasaron varias semanas interactuando con el equipo de Ionic: discusiones técnicas sobre el diseño de LBTC, conversaciones de market-fit, negociaciones de parámetros de riesgo.
  3. Preparación del token: los atacantes desplegaron su propio contrato LBTC falso, luego montaron un pool de liquidez Balancer con 400.000 dólares de su propia liquidez para proveer descubrimiento de precios superficial para el token.
  4. Integración de oráculo: convencieron a Ionic de integrar un feed de precio de oráculo API3 para su LBTC falso: un paso clave que dio al activo un "precio confiable" que los mercados de préstamo consumirían.
  5. Aprobación del listado: tras varias semanas de teatro de due diligence, el equipo de Ionic aprobó el activo fraudulento como colateral en la plataforma de préstamo.

Una vez el LBTC falso estuvo en vivo como colateral, el ataque fue mecánico:

  1. Acuñaron 250 LBTC falso desde su propio contrato (era su token; podían acuñar cuanto quisieran).
  2. Depositaron los 250 LBTC falso como colateral, con el oráculo API3 reportándolo al precio legítimo de mercado de LBTC.
  3. Pidieron prestados 8,6 M$ en activos reales contra el colateral falso.
  4. Se marcharon sin repagar, dejando a Ionic con LBTC falso sin valor como único respaldo de los préstamos.

Tras el robo, los atacantes usaron puentes cross-chain para transferir aproximadamente 3,5 M$ a Ethereum, con 1.204 ETH (~3,2 M$) bridgeados directamente a Tornado Cash.

Consecuencias

  • Ionic pausó los mercados de préstamo afectados y auditó la procedencia de cada activo de colateral listado.
  • El equipo de Lombard Finance confirmó públicamente la suplantación y aclaró que ninguno de su equipo había estado involucrado en el proceso de listado en Ionic.
  • Sin recuperación pública desde las wallets del atacante.
  • El ritmo del exploit —semanas de desarrollo de negocio antes del ataque técnico— sugiere fuertemente comportamiento de actor de amenaza alineado con estado más que explotación oportunista.

Por qué importa

El incidente de Ionic Money es uno de los casos más claros de 2025 sobre cómo las operaciones de ingeniería social contra protocolos están aumentando en paciencia y sofisticación. El ataque no fue oportunista. Los atacantes:

  • Investigaron el proceso de listado de Ionic lo suficiente para saber qué evidencia se requeriría.
  • Construyeron una relación de varias semanas con el equipo, estableciendo confianza antes de explotarla.
  • Construyeron un artefacto creíble —el pool Balancer con 400K$ reales de liquidez y la integración del oráculo API3— que no gritaría inmediatamente "estafa" a una revisión normal de due diligence.

Las lecciones estructurales para plataformas DeFi de préstamo:

  1. "Nos reunimos con su equipo" no es validación: los protocolos que listan nuevo colateral deben verificar la identidad de la contraparte mediante canales independientes de las personas que solicitan el listado. Los propios canales de comunicación de Lombard, no el chat de Telegram de Ionic con alguien que afirma ser Lombard.

  2. Las verificaciones de procedencia del token deben ser criptográficas, no narrativas: verificar que la dirección del contrato desplegado coincide con los anuncios oficiales del protocolo (firmados por su multi-firma o cuenta de redes sociales conocida) en vez de fiarse de la palabra del proponente del listado.

  3. La integración de oráculo es parte del riesgo del listado: añadir un feed de precio de oráculo para un token le da una enorme superficie de ataque; el paso de integración de oráculo debería ser una compuerta de aprobación separada, de alta fricción, que requiera verificación independiente del subyacente.

La línea temporal de "semanas de suplantación antes del ataque" también es notable como tarjeta de visita de actor estatal. Lazarus y grupos similares mantienen personal dedicado a estas operaciones de combustión lenta precisamente porque el coste de paciencia es mucho menor que el retorno esperado de un exploit exitoso. Defender contra esto requiere procesos institucionales que no dependan de la capacidad de miembros individuales del equipo para detectar ingenieros sociales pacientes.

Fuentes y evidencia on-chain

  1. [01]halborn.comhttps://www.halborn.com/blog/post/explained-the-ionic-money-hack-february-2025
  2. [02]rekt.newshttps://rekt.news/ionic-money-rekt
  3. [03]quadrigainitiative.comhttps://quadrigainitiative.com/casestudy/ionicmoneyfakelbtccollateralsocialengineering.php

Registros relacionados