Saltar al contenido
Est. MMXXVIVol. VI · № 273RSS
Blockchain Breaches

Archivo de incidentes de seguridad en criptomonedas — hackeos, exploits, fallos de puentes y rug pulls, documentados con evidencia on-chain.

Expediente № 027Compromiso de clave privada

Hot wallet de Roll Social Money

$5,7 M drenados de la hot wallet de Roll, colapsando docenas de tokens de creadores 'social money' a la vez vía un único compromiso de clave privada.

Fecha
Víctima
Roll
Cadena(s)
Ethereum
Estado
Fondos robados

El 14 de marzo de 2021, la plataforma "social money" Roll sufrió un compromiso de clave privada de hot wallet que drenó aproximadamente $5,7 millones y simultáneamente colapsó docenas de tokens independientes de creadores. Roll permitía a creadores individuales mintear tokens personales; la brecha de la única hot wallet de Roll significó que las economías completas de tokens de muchos creadores fueron borradas a la vez.

Qué ocurrió

Roll proporcionaba infraestructura para que los creadores lanzaran sus propios "tokens sociales" — tokens personales (por ejemplo $WHALE, $RARE, $PICA, y muchos creadores más pequeños) que los fans podían comprar, mantener y usar dentro de la comunidad de cada creador. Roll gestionaba una hot wallet que mantenía saldos significativos a través de estos tokens para liquidez operativa.

El 14 de marzo, un atacante obtuvo la clave privada de la hot wallet de Roll — el vector específico no se detalló públicamente pero se caracterizó como un compromiso de clave en lugar de un exploit de contrato inteligente. Con la clave, el atacante:

  1. Drenó la hot wallet de sus tenencias en muchos tokens de creadores diferentes.
  2. Volcó los tokens robados en sus respectivos pools de liquidez en Uniswap.

Como cada token de creador tenía liquidez reducida y aislada, los volcados desplomaron muchos tokens de creadores en un 50-90% esencialmente simultáneamente. Una brecha de la única billetera de una plataforma se convirtió en un evento sistémico a través de docenas de economías de creadores independientes que no tenían relación entre sí excepto su dependencia compartida de la infraestructura de Roll.

Valor total extraído: aproximadamente $5,7 millones a través de los tokens afectados.

Consecuencias

  • Roll pausó los retiros, movió los fondos restantes a almacenamiento en frío, y se comprometió a reponer a los creadores afectados con un fondo de alivio de $500K más compensación estructurada.
  • Varios creadores de alto perfil (notablemente la comunidad $WHALE) coordinaron sus propios esfuerzos de recuperación independientes de Roll.
  • El incidente dañó significativamente la narrativa de "token social" que había estado ganando impulso a principios de 2021.

Por qué importa

El incidente de Roll es un caso de estudio claro del riesgo sistémico de dependencia de infraestructura compartida. Los creadores individuales que lanzaron tokens en Roll no tenían relación entre sí ni riesgo compartido de contrato inteligente — pero todos dependían de la higiene de la hot wallet de Roll, y cuando ese punto único falló, fallaron todos juntos.

Las lecciones estructurales:

  1. La infraestructura de plataforma es un multiplicador de riesgo sistémico. Cualquier plataforma que custodia activos en nombre de muchas partes independientes concentra el riesgo de esas partes en la seguridad operativa de la plataforma. Los creadores heredaron la postura de gestión de claves de Roll lo entendieran o no.

  2. Los tokens de baja liquidez son singularmente frágiles a eventos de volcado. Cada token de creador tenía pequeña liquidez aislada, por lo que incluso cantidades robadas modestas produjeron un impacto catastrófico en el precio. La misma dinámica se repite en cada incidente de "tokens de cola larga drenados y luego volcados" (Bitmart, Liquid Global, Bitrue).

  3. La tesis de la "economía de creadores en rieles cripto" lleva dependencias ocultas de infraestructura. El argumento — "posee la economía de tu comunidad, sin riesgo de plataforma" — fue socavado por la realidad de que la capa de herramientas (Roll) reintrodujo exactamente el riesgo de plataforma que el modelo afirmaba eliminar. Plataformas posteriores de tokens sociales y monedas de creadores se movieron hacia arquitecturas no custodiales específicamente para evitar ser un punto único de fallo para los creadores a los que servían.

Roll es uno de los incidentes de 2021 relativamente menos recordados, pero fue una demostración temprana y clara de que descentralizar el activo no descentraliza la dependencia operativa — una lección que se repitió a escala mucho mayor a lo largo de los años siguientes.

Fuentes y evidencia on-chain

  1. [01]techcrunch.comhttps://techcrunch.com/2021/03/16/5-7m-stolen-in-roll-crypto-heist-after-hot-wallet-hacked/
  2. [02]cryptopotato.comhttps://cryptopotato.com/social-money-platform-roll-hacked-for-5-7m-as-social-tokens-dump/
  3. [03]cryptobriefing.comhttps://cryptobriefing.com/personal-tokens-crash-roll-suffers-nearly-6m-hack/

Registros relacionados