Primer gran hackeo de 2026: el protocolo Truebit pierde 26,4 millones de dólares por una vulnerabilidad en los contratos inteligentes

Se trata del primer gran hackeo de DeFi documentado de 2026, lo que pone de relieve los riesgos de seguridad constantes en el ecosistema de Ethereum, incluso para proyectos con una larga trayectoria. Según los datos de CertiK, las transacciones sospechosas se detectaron ayer, 8 de enero, y el hacker logró retirar fondos a través de un exploit en un antiguo contrato inteligente.

Truebit Protocol es una plataforma para verificar cómputos en Ethereum, que utiliza el token TRU para incentivar a los participantes de la red. El proyecto existe desde 2020, pero la vulnerabilidad estaba oculta en un contrato obsoleto (dirección: 0x764C64b2A09b09Acb100B80d8c505Aa6a0302EF2), que no se sometió a auditorías ni actualizaciones adecuadas. Como resultado del ataque, el precio del token TRU se desplomó casi un 100%, pasando de 0,16 $ a prácticamente cero (0,0000000029 $), acabando con la capitalización de mercado y la liquidez del proyecto.

¿Cómo se produjo exactamente el ataque?

El ataque se basó en un error de desbordamiento en la función getPurchasePrice() del contrato inteligente. Esta función calcula el precio para acuñar (crear) tokens TRU basándose en una fórmula que incluye el suministro total de tokens, la reserva de ETH y la cantidad que el usuario quiere comprar. En concreto:

• La fórmula calcula variables como v9 = 200 * suministro_total * cantidad * reserva y v12 = 100 * cantidad * cantidad * reserva.
• A continuación, se suman v9 + v12 y el resultado se divide por otra variable (v6).
• El problema surge con valores grandes del parámetro "cantidad": la suma v9 + v12 supera el valor máximo para un entero de 256 bits (2^256), lo que provoca un desbordamiento. En Solidity (el lenguaje de contratos inteligentes para Ethereum), esto envuelve el valor en un número pequeño, haciendo que el precio del token sea prácticamente cero.

El hacker se aprovechó de ello introduciendo un gran valor de "cantidad" para acuñar un número ilimitado de tokens TRU por un coste mínimo (casi gratis). A continuación, estos tokens se vendían en pools de liquidez en Uniswap o plataformas similares, intercambiándolos por ETH de las reservas del protocolo. El proceso se repetía en bucle: acuñación > venta > fuga de ETH. El hacker principal (dirección: 0x6C8EC8f14bE7C01672d31CFa5f2CEfeAB2562b50) extrajo la cantidad principal, mientras que un segundo se llevó unos 250.000 dólares.

Curiosamente, los hackers realizaron pequeños ataques de prueba durante varios meses(de 2.000 a 15.000 dólares) antes de dar el gran golpe.

El equipo de Truebit confirmó el incidente y aconsejó a los usuarios que evitaran interactuar con el contrato vulnerable. Están cooperando con las fuerzas de seguridad para una investigación, pero las posibilidades de recuperar los fondos son bajas, como suele ocurrir en los hackeos DeFi. Los analistas de Lookonchain y Cyvers señalan que se trata de un ejemplo típico de vulnerabilidad en código heredado: los contratos antiguos suelen ignorarse, pero siguen siendo un objetivo atractivo para los hackers.

Implicaciones en el mercado

Este hackeo se convirtió en el primer golpe serio a DeFi en 2026, recordándonos las vulnerabilidades incluso en proyectos "establecidos". Las pérdidas totales por hackeos en criptomonedas en 2025 superaron los 2.000 millones de dólares, y la tendencia continúa. Se aconseja a los inversores que comprueben las auditorías de los contratos y eviten los protocolos menos conocidos. Es poco probable que Truebit se recupere, pero el suceso puede fomentar mejores prácticas de seguridad en el sector, como auditorías periódicas y migración a nuevos contratos.