Hackers roban USD $1,4 millones a protocolo DeFi Ekubo mediante exploit en routers

Ekubo, un exchange descentralizado construido sobre Starknet, confirmó un incidente de seguridad que terminó con el robo de 577 ETH, equivalentes a unos USD $1,36 millones. Aunque la infraestructura principal de Starknet y los proveedores de liquidez no fueron afectados, el caso volvió a poner el foco sobre un riesgo clave en DeFi: las aprobaciones de tokens concedidas a contratos de enrutamiento en Ethereum y Arbitrum.

***

• El ataque se ejecutó en 85 transacciones separadas y drenó 17 WBTC mediante transferencias repetidas de 0,2 WBTC.
• Los fondos robados fueron convertidos en USDC, DAI y ETH antes de consolidarse en 577 ETH y enviarse a Tornado Cash.
• Ekubo pidió a los usuarios revocar permisos vinculados a tres direcciones de router afectadas en Ethereum y Arbitrum.

---

Ekubo, un exchange descentralizado construido sobre Starknet, reveló un incidente de seguridad relacionado con contratos de router de swaps desplegados en Ethereum y Arbitrum. El episodio encendió de inmediato las alarmas entre usuarios y observadores del sector, porque este tipo de contratos suele manejar transferencias directas de tokens entre billeteras y pools de liquidez.

La principal preocupación no giró solo en torno a la pérdida registrada, sino al riesgo de que aprobaciones previas concedidas por los usuarios pudieran ser utilizadas para extraer fondos con rapidez.

En el ecosistema DeFi, esas aprobaciones permiten que contratos inteligentes gasten tokens en nombre del usuario, una función útil para operar, pero que puede transformarse en un punto crítico si la infraestructura conectada es comprometida.

Ekubo aclaró que la infraestructura principal de Starknet y los proveedores de liquidez no se vieron afectados. En una publicación en X, el protocolo afirmó: “Hay un incidente de seguridad activo en el contrato swap router de Ekubo en cadenas EVM únicamente. Los proveedores de liquidez no están afectados”. Esa precisión ayudó a moderar los temores sobre un contagio más amplio dentro del protocolo.

Sin embargo, el incidente volvió a mostrar que la seguridad en DeFi no depende únicamente del contrato principal de una plataforma, sino también de extensiones, routers y capas de interoperabilidad que conectan distintas redes. Según explicó la firma de seguridad blockchain Blockaid, el exploit se originó en una falla de callback dentro de los contratos de extensión v2 de Ekubo sobre cadenas EVM.

De acuerdo con el análisis de Blockaid citado por The Block, los contratos aceptaban parámetros de pago —como dirección del pagador, token y monto— provenientes de datos controlados por el atacante, sin verificar correctamente que el pagador hubiese autorizado la transacción. Esa debilidad permitió drenar fondos desde billeteras que previamente habían otorgado permisos al router comprometido.

Según detalló AMBCrypto, Ekubo instó a los usuarios a revocar permisos asociados a tres direcciones de router comprometidas en Ethereum y Arbitrum utilizando herramientas como revoke.cash. Al mismo tiempo, comenzaron a circular advertencias sobre posibles intentos de phishing, un patrón habitual tras incidentes de alto perfil, cuando atacantes o actores oportunistas buscan aprovechar la confusión para captar claves o firmas maliciosas.

Cómo se produjo el drenaje de fondos

El exploit se desarrolló a través de 85 transacciones separadas. Los atacantes drenaron 17 WBTC mediante transferencias repetidas de 0,2 WBTC, un método que sugiere una extracción progresiva y silenciosa para evitar respuestas inmediatas por parte de las víctimas. En términos operativos, esa fragmentación también puede dificultar la detección temprana cuando la actividad maliciosa se mezcla con flujos normales del mercado.

The Block indicó que la principal víctima perdió alrededor de 17 WBTC, equivalentes a aproximadamente USD $1,4 millones. Datos onchain detectados por firmas de monitoreo como Cyvers mostraron que los activos robados fueron convertidos posteriormente en WETH y DAI antes de continuar su movimiento entre distintas billeteras.

Después del robo inicial, los fondos se movieron hacia Velora, donde los atacantes los intercambiaron por distintos activos. La conversión dejó alrededor de USD $404.000 en USDC, USD $403.000 en DAI y 239,5 ETH. Más tarde, esos activos se consolidaron en 577 ETH, con un valor cercano a USD $1.360.000.

El siguiente paso fue enviar los fondos hacia Tornado Cash. El uso de mixers complica el rastreo del dinero y ralentiza los esfuerzos de recuperación, ya que rompe la trazabilidad lineal entre las billeteras de origen y destino. En la práctica, esto otorga más margen a los atacantes para moverse entre cadenas y servicios conectados, especialmente en un entorno DeFi cada vez más interdependiente.

La secuencia del ataque dejó en evidencia que una vulnerabilidad localizada en contratos de enrutamiento puede escalar con rapidez. Aunque no todos los componentes de una plataforma hayan sido comprometidos, los puntos de conexión entre redes y servicios pueden abrir puertas a pérdidas relevantes si concentran permisos amplios de los usuarios.

Además, Ekubo enfrenta una limitación técnica importante: sus contratos EVM afectados son inmutables por diseño. Según The Block, eso significa que la única solución posible pasa por desplegar una nueva versión del router comprometido, ya que el contrato original no puede ser modificado ni parcheado directamente.

Por qué los routers elevan el riesgo en DeFi

Para lectores menos familiarizados con el tema, un router en DeFi es un contrato inteligente que optimiza rutas para ejecutar swaps o mover liquidez entre distintos pools y, en algunos casos, entre varias redes. Su función es mejorar la eficiencia del capital y reducir fricciones operativas. El problema es que, para hacer eso, necesita autorizaciones que le permitan transferir tokens desde las billeteras de los usuarios.

Cuando esas aprobaciones son ilimitadas o permanecen activas durante semanas o meses, se convierten en un riesgo latente. En el caso de Ekubo, los atacantes explotaron precisamente aprobaciones ilimitadas de ERC-20 concedidas tiempo atrás y manipularon la lógica de callback dentro del contrato de extensión del protocolo. Esa combinación permitió vaciar fondos antes de que los usuarios pudieran reaccionar.

El episodio también reforzó las preocupaciones sobre el llamado contagio de aprobaciones. Si un mismo usuario interactúa con varias capas de liquidez, puentes o agregadores, una falla en uno de esos componentes puede tener impacto más allá de una sola aplicación. Por eso, en los últimos años la conversación sobre seguridad en DeFi se ha desplazado desde los contratos individuales hacia las relaciones entre contratos y permisos persistentes.

En este contexto, la interoperabilidad aparece como una espada de doble filo. Por un lado, mejora la eficiencia de los mercados y facilita una mejor ejecución para traders y proveedores de liquidez. Por el otro, amplía la superficie de ataque y eleva la complejidad técnica de los sistemas, lo que dificulta tanto la auditoría como la respuesta rápida ante incidentes.

The Block describió el incidente como un ejemplo “de manual” de los riesgos asociados a ataques basados en aprobaciones dentro de arquitecturas modulares DeFi. Este tipo de vulnerabilidad ha reaparecido repetidamente durante 2026, un año especialmente duro para la seguridad del sector.

Impacto en la confianza y en la actividad del mercado

Aunque el TVL de Ekubo antes del exploit rondaba los USD $38.000.000, una cifra que ayudó a limitar el riesgo de un contagio mayor, el incidente vuelve a golpear un punto sensible para la industria: la confianza del usuario. En DeFi, la percepción de seguridad es decisiva. Un exploit en un router puede no destruir todo un protocolo, pero sí frenar el uso, reducir la liquidez disponible y elevar la cautela de los participantes.

El golpe reputacional es especialmente relevante porque los routers operan cada vez más como infraestructura compartida. No son simples accesorios técnicos, sino piezas centrales para conectar liquidez, ejecutar swaps complejos y facilitar operaciones cross-chain. Eso hace que los patrones repetidos de exploit luzcan más sistémicos que aislados, incluso cuando el daño inmediato está acotado.

Los datos de The Block muestran que las pérdidas acumuladas en DeFi durante 2026 ya superaban los USD $770 millones antes del incidente de Ekubo. Solo en abril, aproximadamente USD $620 millones fueron drenados a través de cerca de 30 exploits distintos, uno de los meses más agresivos registrados por cantidad de incidentes.

Entre los casos más relevantes del período destacan el hack de Drift Protocol, con pérdidas cercanas a USD $280 millones, y el exploit contra Kelp DAO, valorado en unos USD $292 millones. The Block también recordó incidentes más pequeños, como el compromiso administrativo de Wasabi Protocol por USD $4,5 millones y una brecha en bóvedas de Volo Protocol por USD $3,5 millones.

Para los usuarios, la lección inmediata es revisar aprobaciones activas y limitar permisos innecesarios. Para los desarrolladores y operadores de protocolos, el caso refuerza la necesidad de diseñar infraestructuras con criterios más estrictos de seguridad, segmentación y control de privilegios. En un mercado donde la eficiencia de capital ha sido prioritaria, incidentes como el de Ekubo recuerdan que la robustez operativa todavía es una deuda crucial.

Ekubo logró contener parte de la preocupación al confirmar que Starknet y sus proveedores de liquidez no fueron impactados. Aun así, la pérdida de 577 ETH y el movimiento de fondos hacia Tornado Cash dejan una señal clara para el mercado: la seguridad en DeFi no solo depende de proteger los grandes contratos visibles, sino también de vigilar los permisos y rutas invisibles que conectan todo el sistema.

---

Imagen original de DiarioBitcoin, creada con inteligencia artificial, de uso libre, licenciada bajo Dominio Público

Este artículo fue escrito por un redactor de contenido de IA