Re-exploit de Transit Finance de mayo 2026
El agregador cross-chain Transit Finance perdió ~$1,88M en DAI el 13 de mayo de 2026 — un segundo incidente multimillonario tras la brecha de aprobación de proxy de octubre de 2022.
- Fecha
- Víctima
- Transit Finance
- Estado
- Parcialmente recuperado
El 13 de mayo de 2026, el agregador multi-chain de swaps Transit Finance fue drenado de aproximadamente $1,88 millones — su segundo incidente multimillonario tras la brecha de aprobación de proxy de octubre de 2022 que costó a los usuarios ~$23M. Los fondos robados se consolidaron como ~1,875M de DAI en una nueva dirección de Ethereum (0x8a634DfA2609358849D7D65FFA270C8A57a8abA5), con una porción del drenaje originándose en la rama Tron de la infraestructura cross-chain del protocolo. El equipo declaró que los contratos actuales permanecen seguros, envió un mensaje on-chain al atacante ofreciendo un bug bounty para devolución en 48 horas, y se comprometió a un reembolso total a los usuarios.
Qué ocurrió
Transit Finance opera como una capa de agregación cross-chain que enruta swaps a través de DEXs en múltiples redes y proporciona bridging entre ellas. PeckShield marcó por primera vez el flujo sospechoso el 13 de mayo. El valor drenado se consolidó en una única dirección de Ethereum como DAI, con trazas on-chain mostrando que la salida original tenía un componente del lado Tron antes de ser bridgeada.
La declaración pública del equipo de que "los contratos actuales permanecen seguros" — combinada con el tamaño limitado relativo al TVL — apunta la causa raíz a una ruta específica de integración o enrutamiento en lugar de un compromiso del protocolo al por mayor. Al momento de los reportes públicos, el vector preciso no había sido divulgado en un post-mortem formal; el patrón de blanqueo (originación en Tron, consolidación en DAI en Ethereum) es consistente con el abuso de una aprobación o permiso de router del lado del agregador, en lugar de un compromiso fresco de clave de firma.
Consecuencias
- Oferta de bounty on-chain: el equipo publicó un mensaje en la dirección del atacante ofreciendo un porcentaje de bounty y 48 horas para una resolución white-hat.
- Compromiso de reembolso a usuarios: Transit Finance se comprometió a absorber la pérdida total de $1,88M en lugar de pasarla a los usuarios.
- Sin respuesta pública del atacante; los DAI consolidados inicialmente permanecieron intactos en la nueva billetera de Ethereum.
- El incidente se sumó al recuento corriente de PeckShield de exploits de puentes de mayo de 2026, que superó $328M en ocho incidentes distintos de puente o cross-chain en la primera mitad del mes.
Por qué importa
Transit Finance es una víctima reincidente: el incidente de octubre de 2022 fue un bug textbook de aprobación de contrato proxy en el que el atacante abusó de allowances TransitSwap obsoletas para drenar tokens en manos de los usuarios, y posteriormente recibió un reembolso parcial tras negociación on-chain. La reincidencia de 2026 — de menor tamaño absoluto pero en la misma clase de protocolo — ilustra dos patrones que el catálogo ha rastreado repetidamente:
- Los agregadores cross-chain conllevan una superficie de riesgo agregada desproporcionada — cada cadena, DEX y puente integrado expande la superficie de ataque, y el protocolo típicamente posee poder de aprobación delegado a través de todos ellos.
- El intervalo 2022→2026 entre incidentes en una sola víctima refleja el patrón DeFi más amplio: los protocolos que sobreviven a un primer incidente mayor a menudo re-arquitecturan la clase de bug específica que los golpeó, pero rara vez reducen la exposición estructural de aprobación y enrutamiento que hizo posible el ataque original.
En el contexto de mayo de 2026 — la misma ventana de cinco días que contuvo a THORChain, el puente Verus-Ethereum y Echo Protocol — el incidente de Transit es el menor de los cuatro, pero refuerza el titular del mes: la infraestructura cross-chain es de nuevo el objetivo principal de atacantes oportunistas y alineados con Estados en 2026, exactamente como lo era en la era Wormhole / Nomad.
Fuentes y evidencia on-chain
- [01]crypto.newshttps://crypto.news/transit-finance-hack-drains-1-88m-from-cross-chain-protocol/
- [02]cryptobriefing.comhttps://cryptobriefing.com/defi-exploit-transit-finance/
- [03]cryptopolitan.comhttps://www.cryptopolitan.com/transit-finance-to-refund-hack-may-losses/
- [04]cryptotimes.iohttps://www.cryptotimes.io/2026/05/13/1-88m-drained-from-transit-finance-stolen-dai-sits-in-fresh-eth-wallet/