Saltar al contenido
Est. MMXXVIVol. VI · № 273RSS
Blockchain Breaches

Archivo de incidentes de seguridad en criptomonedas — hackeos, exploits, fallos de puentes y rug pulls, documentados con evidencia on-chain.

Expediente № 270Fallo de smart contract

Drenaje de margen de dos días en Rhea Finance

Rhea Finance en NEAR perdió $18,4 M tras una preparación de dos días con tokens falsos, 423 billeteras y 8 pools Ref que explotaron suma de slippage.

Fecha
Víctima
Rhea Finance
Cadena(s)
NEAR
Estado
Parcialmente recuperado

El 16 de abril de 2026, el protocolo de préstamos basado en NEAR Rhea Finance sufrió un exploit metódico, preparado durante dos días que drenó aproximadamente $18,4 millones — más del doble de la estimación inicial de $7,6 M. El atacante explotó una falla de protección contra slippage en la función de trading con margen que sumaba salidas esperadas en pasos de swap secuenciales incorrectamente. Aproximadamente $9 M se recuperaron vía congelaciones de Tether y devoluciones parciales del atacante.

Qué ocurrió

El producto de trading con margen de Rhea Finance permitía a los usuarios ejecutar operaciones apalancadas a través de secuencias de swaps en el ecosistema DeFi de NEAR. La función incluía una comprobación de protección contra slippage que sumaba las salidas esperadas en todos los pasos de swap para verificar que los usuarios recibieran valor justo de extremo a extremo.

La falla fatal vivía en cómo la protección contra slippage calculaba a través de pasos secuenciales. La lógica de suma tenía una brecha que permitía a un atacante construir secuencias donde la comprobación agregada de slippage pasaba aunque cada paso individual se desviara de los valores justos de mercado en direcciones favorables al atacante.

La fase de preparación de dos días (13-15 de abril de 2026) fue distintiva por su disciplina operativa:

  1. Creó una billetera sujeto como dirección principal de operación.
  2. Distribuyó fondos a través de 423 billeteras intermediarias únicas para oscurecer las fuentes de financiación del ataque y las rutas de blanqueo post-ataque.
  3. Desplegó contratos de tokens falsos construidos a propósito diseñados para interactuar con la lógica de trading de margen de Rhea de formas específicas explotables.
  4. Creó 8 nuevos pools de trading en Ref Finance (el DEX principal de NEAR) — proporcionando los lugares de liquidez por los que enrutaría el ataque.
  5. Construyó un router de swap personalizado para ejecutar la compleja secuencia de operaciones del ataque como una sola transacción atómica.

El 16 de abril, el ataque se ejecutó:

  1. Usó la infraestructura preparada para llamar a la función de trading con margen de Rhea con la secuencia de swap cuidadosamente elaborada.
  2. Cada paso en la secuencia extrajo valor que la lógica de suma de slippage no detectó como subprecio acumulativo.
  3. Drenó aproximadamente $18,4 M en activos mixtos — principalmente USDC, USDT, NEAR y BTC envuelto.

Consecuencias

  • Rhea Finance pausó las operaciones afectadas en cuestión de horas.
  • El equipo publicó un informe de investigación detallando la línea de tiempo de preparación de dos días.
  • Esfuerzos de recuperación:
    • $3,29 M USDT congelados directamente en la billetera del atacante por Tether.
    • $3,359 M USDC devueltos por el atacante tras negociación on-chain.
    • $1,564 M NEAR devueltos por el atacante.
    • $4,34 M USDT congelados (acción separada adicional de Tether).
  • Total recuperado o congelado: aproximadamente $9 millones de la pérdida de $18,4 M — aproximadamente el 49%.

Por qué importa

El incidente de Rhea Finance es el caso de libro de texto de 2026 sobre cómo los ataques con preparación intensa se están convirtiendo en la norma en el extremo superior de sofisticación de exploits DeFi. La fase de construcción de infraestructura de dos días se parece más a oficio operativo de actor estatal que a explotación oportunista de protocolo. La distribución de 423 billeteras por sí sola implica una inversión significativa en infraestructura y planificación operativa.

Las lecciones estructurales:

  1. La lógica de protección contra slippage debe probarse contra secuencias adversarias, no solo flujos de usuario normales. Las pruebas basadas en propiedades que prueban cada posible secuencia de operaciones de swap son la única forma fiable de sacar a la luz esta clase de bug.

  2. La atribución y la recuperación se han vuelto significativamente más efectivas en 2026. La combinación de la capacidad de congelación de Tether (que se ha endurecido significativamente desde 2022), investigadores on-chain publicando la red de billeteras del atacante en cuestión de horas, y la ruta de negociación white-hat siendo ampliamente entendida significa que incluso los atacantes sofisticados enfrentan restricciones significativas en su cash-out.

  3. La huella de infraestructura pre-ataque es en sí misma una señal defensiva — desplegar 423 billeteras intermediarias y 8 nuevos pools de Ref Finance es el tipo de actividad que los servicios de monitoreo on-chain pueden detectar antes de que el ataque se ejecute, con suficiente sofisticación. El esfuerzo de recuperación de Rhea construyó retroactivamente los patrones de detección; construirlos prospectivamente es cada vez más la frontera de la seguridad DeFi.

La tasa de recuperación del 49% es notablemente alta para un incidente DeFi de más de $20 M, y refleja la combinación de la voluntad de aplicación de Tether y el aparente cálculo estratégico del atacante de que la devolución parcial + recompensa era preferible a intentar el blanqueo completo dadas las capacidades actuales de forense on-chain.

Fuentes y evidencia on-chain

  1. [01]halborn.comhttps://www.halborn.com/blog/post/explained-the-rhea-finance-hack-april-2026
  2. [02]theblock.cohttps://www.theblock.co/post/397961/rhea-finance-post-mortem-exploit-losses-18-4-million-double-initial-estimates
  3. [03]coinedition.comhttps://coinedition.com/18-4m-rhea-finance-hack-built-over-two-days-post-mortem-reveals

Registros relacionados