Publicado el 8 diciembre, 2025 por Mariana Flores
El ecosistema DeFi vuelve a enfrentarse a un golpe inesperado. El protocolo US Permissionless Dollar (USPD) —una stablecoin diseñada para operar sin permisos y con respaldo en ETH— reveló haber sido víctima de un ataque altamente sofisticado que explotó una vulnerabilidad crítica relacionada con proxies de contrato inteligente. El incidente permitió a los atacantes acuñar 98 millones de USPD y retirar más de 1 millón de dólares en liquidez, sin ser detectados durante meses.
Un ataque quirúrgico: cómo el hacker tomó control del protocolo.
Según detalló el equipo de USPD en su cuenta oficial en X, el atacante depositó 3.122 ETH como garantía, pero mediante un exploit manipulado logró multiplicar por diez el poder de acuñación del depósito, generando enormes cantidades de tokens sin respaldo real.
El vector explotado —bautizado CPIMP (Clandestine Proxy In the Middle of Proxy)— permitió al hacker adelantarse a la inicialización del contrato proxy el 16 de septiembre, usando una transacción Multicall3 durante la implementación del protocolo. De esta manera, obtuvo derechos administrativos que permanecieron ocultos durante meses.
Para evitar ser detectado, el atacante desplegó una implementación “sombra”, diseñada para:
- reenviar llamadas al contrato original auditado,
- falsificar la ranura de almacenamiento,
- manipular la carga de eventos,
- y engañar a Etherscan para que mostrara el código legítimo en lugar del proxy corrupto.
Este camuflaje permitió operar “a plena vista”, eludiendo verificaciones manuales y automáticas durante semanas.
Finalmente, activó los permisos ocultos, acuñó los 98 millones de USPD y drenó 232 stETH, que posteriormente convirtió en USDC, extrayendo unos $300.000 a través de Curve.
El analista on-chain Emmet Gallic confirmó que el fallo provino de una inicialización incompleta del proxy durante la fase de despliegue, un error conocido pero difícil de detectar en infraestructuras modulares complejas.
USPD reacciona: alerta a usuarios y búsqueda activa del atacante.
Tras confirmar el ataque, el equipo de USPD emitió un comunicado urgente:
“Por favor, NO compre USPD. Revoquen todas las aprobaciones inmediatamente.”
El protocolo informó que está trabajando con fuerzas del orden, equipos de “sombrero blanco” y exchanges centralizados y descentralizados para marcar las direcciones del atacante e intentar congelar los fondos robados.
Además, USPD lanzó una oferta de resolución: si el atacante devuelve el 90% de los activos, podrá quedarse con un 10% como recompensa por bug bounty, y el protocolo retirará cualquier acción legal.
“Estamos devastados. A pesar de auditorías rigurosas y buenas prácticas, fuimos víctimas de un vector de ataque emergente y extremadamente complejo”, declaró el equipo.
El mercado reacciona: caída en volumen, pero el peg se mantiene.
A pesar del hackeo, la stablecoin mantiene su paridad con el dólar, según datos de CoinMarketCap. Sin embargo, su volumen de negociación cayó alrededor de 20% en las últimas 24 horas, situándose en torno a $2,56 millones, reflejando la incertidumbre del mercado.
Un contexto preocupante: noviembre fue un mes negro para DeFi.
El ataque a USPD se suma a una serie de incidentes recientes que han sacudido al sector. En noviembre, tanto Yearn Finance como Balancer sufrieron explotaciones significativas, alimentando el debate sobre las vulnerabilidades persistentes en las arquitecturas DeFi, incluso en protocolos auditados.
Los hackeos a stablecoins no son inéditos: en 2023, Euler Finance sufrió un ataque que drenó más de 197 millones de dólares, uno de los mayores incidentes en la historia del sector.
Un nuevo recordatorio de los riesgos sistémicos en DeFi.
El ataque a USPD pone de manifiesto un problema que el sector aún no logra resolver: la seguridad en infraestructuras basadas en proxies, módulos y contratos upgradeables. Aunque permiten flexibilidad y actualizaciones, también amplían la superficie de ataque.
Mientras USPD lucha por recuperar los fondos y restablecer la confianza, el caso se convierte en otro capítulo que refuerza la necesidad de:
- auditorías más profundas,
- mejores estándares de implementación,
- herramientas de verificación más robustas,
- y una mayor educación en riesgos para usuarios e inversores.
Fuente: Cryptopolitan
