Saltar al contenido
Est. MMXXVIVol. VI · № 273RSS
Blockchain Breaches

Archivo de incidentes de seguridad en criptomonedas — hackeos, exploits, fallos de puentes y rug pulls, documentados con evidencia on-chain.

Expediente № 179Compromiso de clave privada

Exploit de minteo en PlayDapp

Una clave admin robada permitió al atacante añadirse como minter y producir 1,79 B PLA en dos golpes — nominal $290 M, solo $32 M cobrados con éxito.

Fecha
Víctima
PlayDapp
Cadena(s)
Ethereum
Estado
Parcialmente recuperado

Entre el 9 y el 12 de febrero de 2024, un atacante minteó 1.790 millones de tokens PLA en la plataforma de juegos PlayDapp — un nominal de $290 millones a los precios del momento. PLA era la moneda interna de un ecosistema de juegos Web3 coreano.

Qué ocurrió

El atacante no explotó un bug de lógica — robó una clave admin que controlaba las funciones privilegiadas del contrato del token PLA. Con esa clave:

  1. Se añadió como minter, otorgando a su propia dirección la autoridad para crear nuevos PLA.
  2. Despojó a los administradores existentes de sus permisos, dejando fuera al equipo legítimo.
  3. Minteó 200 millones de PLA (~$36,5 M) en el primer ataque el 9 de febrero.
  4. Regresó tres días después y minteó otros 1.590 millones de PLA (~$253,9 M) el 12 de febrero.

Consecuencias

  • El atacante solo logró convertir aproximadamente $32 millones de los tokens robados en otros activos antes de que los exchanges congelaran las direcciones asociadas; el resto quedó en su billetera como dilución que destruyó el valor de PLA en lugar de proporcionarle efectivo.
  • PlayDapp pausó el contrato PLA y anunció una migración a un nuevo token "PDA" con controles multi-firma. Los tenedores existentes recibieron PDA a una proporción fija; el PLA minteado por el atacante fue efectivamente anulado.
  • La pérdida para los tenedores legítimos de PLA fue real: la capitalización de mercado colapsó durante el incidente.

Por qué importa

Una sola clave privilegiada en un contrato no actualizable puede ser peor que un contrato actualizable — porque no hay mecanismo para revocar una autoridad robada salvo una migración dura. La mayoría de los tokens emitidos en 2024 y 2025 se despliegan con la autoridad de minteo renunciada tras el lanzamiento o bloqueada detrás de un multi-sig Safe con timelock.

Fuentes y evidencia on-chain

  1. [01]halborn.comhttps://www.halborn.com/blog/post/explained-the-playdapp-hack-february-2024
  2. [02]immunebytes.comhttps://immunebytes.com/blog/playdapp-exploit-feb-9th-12th-2024-detailed-analysis-report/
  3. [03]playdapp.medium.comhttps://playdapp.medium.com/playdapp-post-mortem-on-the-hacking-incident-361b4ddfb5a1

Registros relacionados