El Proyecto 0 promete reembolsos tras compromiso de GitHub que desencadena ataque de phishing a usuarios de DeFi
En una alerta compartida por el fundador de Project 0 (P0), MacBrennan Peet, el ejecutivo se comprometió a reembolsar completamente las pérdidas confirmadas después de que atacantes se infiltraran en su sistema para redirigir las visitas de los usuarios a su sitio web hacia un sitio de robo de criptomonedas.
La publicación de MacBrennan confirmó que al menos un usuario perdió $1,000 cuando probó el nuevo sitio "por curiosidad".
El incidente de seguridad dirigido a Project 0 se suma a cifras récord de robos de criptomonedas por actores maliciosos que explotan la actualización Fusaka que se suponía haría que las tarifas de transacción fueran una preocupación menor para los usuarios de la red Ethereum, agregándose a un patrón de ataques dirigidos a lugares ricos en liquidez.
Project 0 reporta el último secuestro de dominio DeFi
Según la divulgación de MacBrennan, los atacantes obtuvieron acceso a la cuenta de GitHub de un miembro del equipo de la aplicación, lo que les permitió redirigir las visitas de los usuarios entre las 9:45 PM y las 10:19 PM.
Aunque no especificó su zona horaria, los usuarios que intentaron visitar el sitio web de Project 0 dentro de la ventana de ataque de 40 minutos fueron dirigidos a otro sitio web que llevó a la pérdida de al menos $1,000.
Según datos de Defillama, Project 0, una correduría prime nativa de DeFi que permite a los usuarios pedir prestado contra toda su cartera DeFi en múltiples lugares, actualmente mantiene casi $90 millones en valor total bloqueado (TVL), alcanzando un máximo superior a $110 millones desde que comenzó el seguimiento a finales de 2025. El proyecto también afirma contar con el respaldo de Multicoin, Pantera y Solana Ventures.
Los $89 millones bloqueados en el ecosistema DeFi de Project 0 no se vieron afectados por la explotación. Fuente: Defillama
Ese nivel de actividad y estatus, aunque atractivo para los usuarios, también es un faro para los atacantes que buscan objetivos de alto valor.
Cryptopolitan reportó que OpenEden y BonkFun sufrieron ataques similares cuando los atacantes comprometieron dominios registrados a los proyectos.
En ambos casos, el ataque no afectó las bóvedas de los proyectos ni las posiciones de los usuarios, ya que el daño en este tipo de ataques generalmente se limita a los visitantes del sitio web durante la ventana de explotación, que generalmente es rápidamente mitigada por equipos receptivos.
Aunque el monto exacto perdido aún no está confirmado, MacBrennan se ha comprometido a extender el alivio de reembolso a cualquier otra pérdida verificada de clientes durante el ataque.
Los usuarios de Ethereum se convierten en objetivos de ataques de envenenamiento de direcciones
Cuando los desarrolladores de Ethereum impulsaron la actualización Fusaka en diciembre de 2025, promocionaron la actualización como el "jefe final" para hacer que las transacciones en la red principal fueran asequibles.
Lo que no vieron venir fue que se convertiría en la pieza final del rompecabezas para los atacantes que acechan objetivos de alto valor en el ecosistema Ethereum rico en liquidez, que mantiene casi $60 mil millones en protocolos DeFi y más de $160 mil millones en capitalización de mercado de stablecoin.
La cuenta oficial de Etherscan en X señaló la creciente amenaza en su artículo "Los ataques de envenenamiento de direcciones están aumentando en Ethereum". El informe citó un estudio de 2025 que compara los intentos de envenenamiento antes y después de la actualización Fusaka para destacar la proliferación de estos ataques desde la actualización de diciembre.
Las transferencias de polvo, que son pequeños depósitos (por debajo de $0.01) destinados a reemplazar direcciones en el historial de transacciones de los usuarios con billeteras controladas por los atacantes, siguieron la tendencia ya que la actividad de transacciones en la red principal de Ethereum aumentó aproximadamente un 30% en general en los 90 días posteriores a la actualización Fusaka, con un aumento acompañante del 78% en la creación de nuevas direcciones.
| Activo | Pre-Fusaka | Post-Fusaka | Aumento % |
| USDT | 4.2M | 29.9M | 612% |
| USDC | 2.6M | 14.9M | 473% |
| DAI | 142K | 811K | 470% |
| ETH | 104M | 170M | 62% |
Tabla que compara la tasa de ataques de envenenamiento de direcciones antes y después de la actualización Fusaka.
Es un juego de números
Cryptopolitan ha reportado varias pérdidas de alto perfil debido a la nueva plaga de los usuarios de Ethereum, con la pérdida de $50 millones de diciembre creando el titular más grande. Al parecer, la víctima del incidente en realidad envió $50 en una transacción de prueba para asegurarse de tener la dirección correcta.
Sin embargo, en el tiempo que tomó probar la dirección e iniciar la transferencia real de $50 millones, los actores maliciosos habían salpicado el historial de transacciones del remitente con sus propias transferencias de polvo, lo que finalmente llevó a la pérdida.
Ese incidente resalta la escala y velocidad de estas operaciones, ya que los atacantes realmente compiten para envenenar más las direcciones de las víctimas potenciales. Como destacó Etherscan, "solo dos transferencias de stablecoin" por parte de un usuario de su servicio activaron "más de 89 correos electrónicos de alerta de vigilancia de direcciones".
Solo aproximadamente 1 de cada 10,000 intentos tiene éxito, pero cuando se comparan los $79 millones en pérdidas confirmadas en 17 millones de intentos dirigidos a aproximadamente 1.3 millones de usuarios, las matemáticas cuadran para estos atacantes, que incurren en menos de $1 en cada intento.
No solo leas noticias sobre criptomonedas. Entiéndelas. Suscríbete a nuestro boletín. Es gratis.
También te puede interesar
Flavio Briatore confirmó que existe una negociación millonaria por el 24% de las acciones de Alpine
Oscar 2026: del exclusivo y exótico menú para las estrellas a las bolsas de regalo de US$320.000 para los nominados
