Noticias de última hora: Fondos de criptomonedas en riesgo por un ataque masivo a la cadena de suministro
Hackeo de Criptomonedas: ¿Qué Sucedió?
Un paquete npm ampliamente utilizado, error-ex, fue manipulado en su versión 1.3.3. Oculto en su interior había un código ofuscado que activa dos modos de ataque peligrosos:
- Secuestro del Portapapeles: Cuando pegas una dirección de wallet, el malware la reemplaza silenciosamente por una dirección similar del atacante.
- Intercepción de Transacciones: Si usas una wallet en el navegador, el código puede interceptar las llamadas de transacción y cambiar la dirección del destinatario antes de que veas la pantalla de confirmación.
Esto hace que sea casi imposible notarlo a menos que verifiques cuidadosamente cada carácter de la dirección a la que envías.
¿Quién está en Riesgo por este Hackeo de Criptomonedas?
- Desarrolladores: Cualquier proyecto que obtenga dependencias sin fijar estrictamente la versión podría haber instalado la versión infectada. Esto podría afectar pipelines de CI, builds de producción y aplicaciones que dependen de JavaScript.
- Usuarios de Criptomonedas: El malware apunta a activos principales incluyendo $BTC , $ETH, $SOL, $TRX, $LTC y $BCH. Tanto los usuarios del portapapeles como los de wallets en el navegador están en riesgo.
- Plataformas: Incluso aplicaciones centralizadas que integran librerías npm podrían haber incluido el código malicioso sin saberlo.
¿Qué Empresas Fueron Afectadas?
Ya, SwissBorg confirmó una brecha vinculada a una API de socio comprometida. Aproximadamente 192.6K SOL (~$41.5M) fueron drenados en el ataque. Aunque la app de SwissBorg en sí permanece segura, su SOL Earn Program fue afectado, impactando a menos del 1% de los usuarios. La plataforma ha prometido medidas de recuperación, incluyendo fondos del tesoro y apoyo de hackers de sombrero blanco.
Cómo Protegerte
Esto es lo que debes hacer ahora mismo:
Para Usuarios de Wallets
✅ Verifica siempre cada transacción — revisa la dirección completa del destinatario antes de firmar.
✅ Usa una hardware wallet con firma clara habilitada.
✅ Evita extensiones de wallet en el navegador innecesarias.
✅ Si algo te parece extraño (solicitudes de firma inesperadas), cierra la pestaña inmediatamente.
Para Desarrolladores
⚙️ Cambia los builds de CI de npm install a npm ci para bloquear las dependencias.
⚙️ Ejecuta npm ls error-ex para detectar instalaciones infectadas.
⚙️ Fija versiones seguras (error-ex@1.3.2) y regenera los lockfiles.
⚙️ Añade escáneres de dependencias como Snyk o Dependabot.
⚙️ Trata los cambios en package-lock con el mismo cuidado que las revisiones de código.
Perspectiva
Este incidente resalta la fragilidad de las cadenas de suministro en Web3 y más allá. Un pequeño compromiso en un paquete puede desencadenar miles de millones de descargas, afectando tanto a desarrolladores como a poseedores de criptomonedas en todo el mundo. El peligro inmediato radica en los ataques de intercambio de direcciones, pero la preocupación más amplia es cuán profundo podría propagarse esto en la infraestructura financiera.
Por ahora: verifica antes de firmar, fija tus dependencias y no tomes atajos en seguridad.
Disclaimer: The content of this article solely reflects the author's opinion and does not represent the platform in any capacity. This article is not intended to serve as a reference for making investment decisions.
You may also like
Trending news
MoreCrypto prices
More
