El 21 de marzo de 2025, el protocolo de restaking de activos del mundo real Zoth perdió aproximadamente $8,4 millones tras que su clave de desplegador/actualización fuera comprometida. El atacante impulsó una implementación de proxy maliciosa y drenó el colateral USD0++ del protocolo.
Qué ocurrió
Los contratos de Zoth eran actualizables, con autoridad de actualización en una clave que fue comprometida (vector no divulgado). El atacante realizó una actualización del proxy a una implementación maliciosa, y luego retiró el pool de colateral (~$8,4M), intercambió a ETH y blanqueó.
Consecuencias
- Zoth pausó y persiguió la recuperación; retornos mínimos.
Por qué importa
Zoth es una instancia de 2025 del compromiso de actualización de proxy de clave única que domina el catálogo moderno (Wasabi, Resolv, OKX DEX). Los protocolos RWA/restaking — manejando valor off-chain tokenizado — son cada vez más atacados porque acumulan grandes pools de colateral rápidamente. La defensa no ha cambiado y sigue siendo ignorada: la autoridad de actualización debe ser multi-firma + timelock, nunca una sola clave. La frecuencia de incidentes de 2025-2026 es abrumadoramente esta única omisión, a cada escala de protocolo.
Fuentes y evidencia on-chain
- [01]halborn.comhttps://www.halborn.com/blog/post/explained-the-zoth-hack-march-2025
- [02]crypto.newshttps://crypto.news/crypto-hack-leads-to-8-4m-loss-for-rwa-restaking-protocol-zoth/
- [03]rekt.newshttps://rekt.news/zoth-rekt