El 8 de septiembre de 2025, la plataforma suiza de gestión de patrimonio cripto SwissBorg perdió aproximadamente 193.000 SOL — unos $41,5 millones — de su estrategia de staking SOL Earn. El compromiso no fue en la propia SwissBorg: la API del proveedor de staking de SwissBorg, Kiln, fue vulnerada, y los atacantes manipularon las solicitudes para sustraer SOL de los depósitos SwissBorg-Earn que Kiln gestionaba.
Qué ocurrió
SwissBorg ofrecía a los usuarios un producto SOL Earn donde los depósitos eran apostados en Solana a través de Kiln, un proveedor importante de infraestructura de staking. Kiln operaba la infraestructura del validador y las claves de firma; la app de SwissBorg manejaba la capa de cara al usuario.
Los atacantes comprometieron la API de Kiln — probablemente mediante robo de credenciales o explotación del backend; el vector exacto no fue divulgado públicamente en detalle. Con acceso a la API, podían emitir transacciones relacionadas con el staking en nombre de los depósitos de SwissBorg de formas que finalmente enrutaban fondos a direcciones controladas por el atacante en Solana.
El drenaje afectó a una billetera etiquetada como "SwissBorg Exploiter" en Solscan y afectó a menos del 1% de la base general de usuarios de SwissBorg — solo aquellos que habían optado por el producto SOL Earn a través de la estrategia respaldada por Kiln.
Consecuencias
- SwissBorg pausó el staking de Solana inmediatamente.
- El CEO de SwissBorg Cyrus Fazel se comprometió públicamente a cubrir cualquier déficit con la tesorería de la empresa para que ningún usuario absorbiera una pérdida — incluso si los esfuerzos de recuperación fracasaban.
- La plataforma se asoció con Fireblocks, la Solana Foundation e investigadores white-hat para rastrear los fondos robados. Varias transacciones vinculadas al atacante fueron bloqueadas en puntos de estrangulamiento importantes de los exchanges.
- Kiln publicó su propio post-mortem y endureció los controles del lado de la API.
Por qué importa
SwissBorg es el caso canónico de 2025 del riesgo de API de proveedor en productos cripto retail. El producto visible al usuario era de SwissBorg, la relación de confianza era con SwissBorg, pero el límite de seguridad real pasaba por la superficie API de Kiln. Cuando esa superficie fue comprometida, la pérdida fue real y la carga del reembolso al cliente recayó sobre SwissBorg — aunque la brecha ocurrió en el proveedor.
La lección estructural, cada vez más relevante a medida que el ecosistema de infraestructura de staking madura:
- Las plataformas de cara al usuario son responsables de la postura de seguridad de cada proveedor en su pila de staking — operacional, reputacional y (según la respuesta de SwissBorg) financieramente.
- Las relaciones con proveedores basadas en API necesitan el mismo escrutinio que las relaciones de custodia directa de claves, incluyendo pruebas de penetración, auditorías de terceros de los controles del proveedor, y disposiciones contractuales sobre divulgación de brechas.
- La respuesta "ningún usuario perderá" de Cyrus Fazel es cada vez más el guion esperado para las plataformas de consumo establecidas — y uno que tiene implicaciones de capital significativas para los entrantes más nuevos que no tienen profundidad de tesorería para absorber pérdidas de $40M+ de su propio bolsillo.
Fuentes y evidencia on-chain
- [01]swissborg.comhttps://swissborg.com/blog/sol-earn-incident-swissborg-recovery
- [02]unchainedcrypto.comhttps://unchainedcrypto.com/hackers-drain-41-million-from-swissborgs-solana-earn/
- [03]quillaudits.comhttps://www.quillaudits.com/blog/hack-analysis/swissborg-exploit