Vaciado de Loopscale a dos semanas del lanzamiento

El 26 de abril de 2025, el protocolo de préstamos DeFi basado en Solana Loopscale sufrió un exploit de $5,8 millones — aproximadamente el 12% de su TVL de $40 M — apenas 16 días después de su lanzamiento del 10 de abril. El atacante manipuló el precio del oráculo de tokens PT de RateX para obtener préstamos subcolateralizados. Tras la negociación, el atacante aceptó una recompensa del 10% y devolvió todos los fondos, resultando en cero pérdidas para los usuarios.

Qué ocurrió

La plataforma de préstamos de Loopscale aceptaba varios tokens DeFi de Solana como colateral, incluyendo tokens PT de RateX — envoltorios de Plasma Token utilizados por RateX, un protocolo de rendimiento a tipo fijo. La lógica de valoración de préstamos de Loopscale para tokens PT dependía de lecturas de oráculo que derivaban precios del estado subyacente de RateX.

La falla fatal: las funciones de valoración del token PT podían ser manipuladas mediante secuencias específicas de llamadas que no activaban las comprobaciones de solvencia de Loopscale. El atacante:

1. Manipuló el oráculo del token PT de RateX mediante cambios de estado que afectaban la lógica de derivación de precios.
2. Depositó los tokens PT con valor manipulado como colateral en Loopscale.
3. Tomó prestados activos reales (USDC, SOL) contra la valoración inflada del colateral.
4. Se marchó sin reembolsar, dejando a Loopscale con un colateral que valía menos que los préstamos respaldados por él.

Total extraído: 5,7 M USDC + 1.200 SOL = aproximadamente $5,8 M.

Consecuencias

• Loopscale pausó todas las operaciones de préstamo y retiro en cuestión de horas.
• El equipo envió mensajes on-chain al atacante ofreciendo una recompensa del 10% a cambio de inmunidad ante el enjuiciamiento.
• El atacante aceptó la oferta y devolvió los fondos robados a la dirección de recuperación de Loopscale.
• Sin pérdidas de usuario — las operaciones se reanudaron con la lógica del oráculo PT parcheada.

Por qué importa

El incidente de Loopscale es un caso de estudio sorprendente de lo rápido que un protocolo DeFi recién lanzado se convierte en un objetivo. El exploit ocurrió 16 días tras el lanzamiento, cuando:

• El protocolo había acumulado ~$40 M en TVL y más de 7.000 prestamistas — capital suficiente para hacer rentable la operación.
• La base de código estaba aún en iteración activa, con nuevas funcionalidades añadidas regularmente.
• Los procedimientos de respuesta a incidentes del equipo no habían sido probados en producción.

Las lecciones estructurales:

1. Los protocolos nuevos son atacados desproporcionadamente en sus primeros 30 días tras el lanzamiento. La combinación de código fresco, TVL en acumulación y respuesta a incidentes inmadura crea un objetivo de alto valor y poca defensa. Los atacantes monitorean explícitamente esta ventana.

2. Las dependencias de oráculos sobre tokens relativamente nuevos (como RateX PT) heredan las propiedades de seguridad del subyacente — la lógica de derivación de precios del token PT fue la superficie de ataque real, no las matemáticas de préstamos de Loopscale.

3. El resultado de recompensa del 10% / recuperación del 100% es cada vez más el patrón dominante de resolución para exploits DeFi de tamaño medio. La lógica económica para el atacante — el pago de recompensa es sin riesgo, los fondos blanqueados son arriesgados — empuja hacia esta resolución siempre que el atacante sea racional e inidentificable.

La respuesta de Loopscale — pausa inmediata, negociación on-chain transparente, recuperación total en días — estableció un listón creíble sobre cómo un protocolo de equipo pequeño puede manejar un incidente grave sin destruir la confianza de los usuarios. La transparencia posterior del equipo sobre la causa técnica raíz (publicando post-mortems detallados) se ha convertido en práctica estándar para protocolos que quieren mantener credibilidad tras un exploit.