Hackers roban 145.000 dólares al lanzar estafas DeFi no verificadas a través de Merkl

Por

Shweta Chakrawarty

1 day ago

Una plataforma de incentivos, Merkl, fue explotada por hackers que crearon cuentas falsas, manipularon un precio de referencia y sustrajeron más de 145.000 USDC.

Hackers roban 145.000 dólares al lanzar estafas DeFi no verificadas a través de Merkl

Resumen rápido

Resumen generado por IA, revisado por la redacción.

Los hackers utilizaron la configuración abierta de Merkl y el protocolo sin permisos de Euler para crear un mercado falso.
La estafa consistía en manipular un precio oráculo para obtener préstamos masivos con garantías mínimas.
Los depósitos en USDC de las víctimas fueron tomados prestados, intercambiados por ETH y enviados al protocolo de privacidad RAILGUN.
El incidente genera pedidos de mayores protecciones para los usuarios más allá de advertencias claras de riesgo en las plataformas DeFi.

Los hackers han encontrado una nueva forma de aprovecharse de los usuarios de las finanzas descentralizadas (DeFi). Esta vez utilizaron Merkl, una plataforma integral de incentivos DeFi, para crear campañas falsas y no verificadas con las que drenaron los depósitos de los usuarios. La estafa tuvo como objetivo a usuarios en Sonic a través del protocolo Euler y ya ha provocado pérdidas superiores a 145.000 dólares.

Hackers crean campañas falsas con altos rendimientos

Según el usuario de DeFi conocido como YAM, un actor malicioso aprovechó la estructura abierta de Merkl para crear campañas fraudulentas que aparentaban ofrecer rendimientos de tres cifras (APR). La estafa invitaba a los usuarios a depositar USDC en lo que parecía ser una bóveda legítima de Euler en Sonic. Sin embargo, una vez que los usuarios depositaban sus fondos, el atacante los drenaba por completo.

吴说获悉，据 DeFi 玩家 YAM，黑客正在利用一站式 DeFi 协议 Merkl 创建未验证的活动以欺诈用户存款，如近期黑客通过在 Sonic 上创建三位数 APR 激励以诱导用户将 USDC 存入 Euler Vault，然后再抽干所有存款。由于 Euler…
— 吴说区块链 (@wublockchain12) October 29, 2025

Como Euler Finance es un protocolo sin permisos (permissionless), cualquiera puede desplegar mercados sin necesidad de aprobación. El atacante utilizó esta característica para lanzar un mercado falso, usando un token llamado scUSD como colateral y USDC como deuda. Luego manipuló el precio del oráculo —la fuente de datos esencial en DeFi— fijándolo en un absurdo millón de dólares por token. Esto le permitió pedir prestados 700.000 USDC a cambio de un solo scUSD, dándole control total sobre los fondos de la bóveda.

Cómo funcionó la estafa

Una vez que el mercado falso estuvo activo, el atacante lanzó una campaña no verificada en Merkl, promocionando rendimientos extremadamente altos para atraer depósitos. Los usuarios que depositaron USDC en la campaña vieron cómo sus fondos eran tomados en préstamo, convertidos en ETH y luego transferidos al proyecto RAILGUN, un protocolo de privacidad utilizado con frecuencia para ocultar transacciones.

Los datos en cadena muestran que la dirección principal del operador era 0x8ba913e…, con los fondos enviados posteriormente a 0xa86399… antes de desaparecer en RAILGUN. Curiosamente, un usuario identificado como 0xc0f8fe… logró retirar su depósito antes de que el atacante lo drenara, probablemente porque el hacker no estaba monitoreando la bóveda en ese momento.

Reacciones de la comunidad DeFi

Tras descubrirse el ataque, YAM instó a los usuarios a actuar con precaución al interactuar con campañas no verificadas en Merkl. También pidió al equipo de Merkl que dificultara los depósitos en este tipo de campañas mediante advertencias emergentes más contundentes.

Michael Bentley, cofundador y CEO de Euler Labs, confirmó que la bóveda en cuestión estaba claramente marcada como no verificada y etiquetada como un riesgo de seguridad. Explicó que el sitio web de Euler solo permite acceder a bóvedas no verificadas si los usuarios activan manualmente una opción reconociendo el riesgo. “Ahora estamos bloqueando permanentemente todos los enlaces a esta bóveda para evitar su uso futuro”, añadió Bentley.

Los miembros de la comunidad también plantearon dudas sobre cómo los usuarios pueden verificar si el oráculo de un mercado es legítimo. YAM explicó que los oráculos proporcionan datos de precios del mundo real a las aplicaciones DeFi, y suelen estar controlados por los curadores del mercado, por lo que deben configurarse con extremo cuidado. Un pequeño error, como un decimal incorrecto o un multisig mal protegido, puede abrir la puerta a exploits graves como este.

Llamado a reforzar las medidas de seguridad

El incidente pone de manifiesto un problema recurrente en el ecosistema DeFi: el equilibrio entre la innovación sin permisos y la seguridad del usuario. Plataformas como Merkl y Euler permiten que cualquiera cree o participe libremente en mercados, pero esa apertura también ofrece margen de acción a los atacantes. Aunque los proyectos marcan claramente las campañas no verificadas, el creciente número de estafas demuestra que las advertencias por sí solas pueden no ser suficientes.

Ahora, los usuarios reclaman medidas adicionales, como verificaciones obligatorias o confirmaciones extra antes de permitir depósitos. Los expertos recomiendan interactuar únicamente con campañas verificadas y revisar cuidadosamente los contratos antes de enviar fondos. El exploit de 145.000 dólares es un recordatorio más de que, incluso en el mundo abierto de las DeFi, la cautela sigue siendo la mejor defensa.