Saltar al contenido
Est. MMXXVIVol. VI · № 273RSS
Blockchain Breaches

Archivo de incidentes de seguridad en criptomonedas — hackeos, exploits, fallos de puentes y rug pulls, documentados con evidencia on-chain.

Expediente № 002Reentrancy

Hackeo de reentrada en The DAO

The DAO perdió 3,6M ETH ($50M) por el bug de reentrada de libro, el robo que dividió Ethereum en ETH y Ethereum Classic.

Fecha
Víctima
The DAO
Cadena(s)
Ethereum
Estado
Parcialmente recuperado

El 17 de junio de 2016, un atacante drenó 3,6 millones de ETH — aproximadamente $50 millones en ese momento — de The DAO, un fondo de inversión descentralizado construido sobre Ethereum. The DAO había recaudado más de $150 millones en su venta de tokens apenas un mes antes, convirtiéndolo en el mayor evento de crowdfunding de la historia hasta entonces.

Qué ocurrió

La función de retirada de The DAO seguía un patrón inseguro: enviaba ETH al llamante antes de actualizar el saldo interno del llamante. Cuando el receptor era un contrato, Ethereum invocaba la función fallback del receptor al recibirlo — y ese fallback podía volver a llamar a la función de retirada original antes de que el saldo se decrementara.

El contrato del atacante hizo exactamente esto en un bucle: recibir ETH → re-entrar la retirada → recibir ETH → re-entrar → repetir. Para cuando el saldo finalmente se actualizó, los mismos tokens DAO habían drenado el contrato muchas veces. Los fondos fluyeron a un "DAO hijo" controlado por el atacante, donde un time lock incorporado evitó la retirada inmediata.

Consecuencias

  • Vitalik Buterin y la mayor parte de la comunidad temprana de Ethereum apoyaron un hard fork para revertir el robo.
  • El 20 de julio de 2016, la cadena principal de Ethereum ejecutó el fork, enviando los fondos robados a un contrato de recuperación desde el cual los poseedores de tokens DAO podían canjear ETH.
  • Una minoría de usuarios se negó, citando la inmutabilidad como un principio innegociable. Continuaron la cadena original como Ethereum Classic (ETC), que aún se opera hoy.

Por qué importa

The DAO es el incidente fundacional de la seguridad de contratos inteligentes. Estableció:

  • El patrón de reentrada como el bug canónico de Solidity — toda lista de auditoría aún lo encabeza.
  • El patrón "checks-effects-interactions" como mitigación estándar: actualiza el estado antes de hacer llamadas externas.
  • La línea de fractura filosófica entre la inmutabilidad estricta y la gobernanza pragmática que ha moldeado el diseño de respuesta a emergencias de cada protocolo desde entonces.

Nueve años después, el incidente de Curve en 2023 y Penpie mostraron que la clase de bug original todavía encuentra nuevas formas de recurrir.

Fuentes y evidencia on-chain

  1. [01]blog.chain.linkhttps://blog.chain.link/reentrancy-attacks-and-the-dao-hack/
  2. [02]coindesk.comhttps://www.coindesk.com/consensus-magazine/2023/05/09/coindesk-turns-10-how-the-dao-hack-changed-ethereum-and-crypto
  3. [03]gemini.comhttps://www.gemini.com/cryptopedia/the-dao-hack-makerdao

Registros relacionados