Contratos no verificados se convierten en "cajas fuertes": SynapLogic fue atacado 193 veces por arbitradores, con un préstamo relámpago que acuñó 16000 tokens con 1 ETH

Las vulnerabilidades de seguridad de SynapLogic nos recuerdan una vez más que los contratos no verificados son como una puerta abierta. Según las últimas noticias, CertiK detectó 193 transacciones sospechosas en contratos no verificados relacionados con SynapLogic, donde los atacantes lograron realizar arbitrajes eficientes mediante préstamos flash y llamadas repetidas a funciones del contrato. Aunque en esta ocasión el valor de mercado de cada moneda involucrada es limitado, el patrón de ataque expuesto merece atención.

Análisis de las técnicas de ataque

La lógica central de este ataque no es compleja, pero su eficiencia de ejecución es muy alta. Según los datos de monitoreo, los atacantes siguieron los siguientes pasos:

• Tomar prestado 1 ETH mediante un préstamo flash (sin necesidad de colateral, solo devolver en la misma transacción)
• Utilizar el ETH prestado para llamar a funciones del contrato SynapLogic
• Repetir la lógica del contrato, acuñando 16,000 tokens SYP
• Devolver el ETH antes de que termine la transacción, cerrando el ciclo de arbitraje
• Utilizar múltiples direcciones nuevas para dispersar las operaciones y reducir el riesgo de rastreo

Este tipo de ataque combinado de “préstamo flash + vulnerabilidad en contrato” no es nuevo en el ámbito DeFi, pero cada vez que ocurre demuestra claramente que los proyectos tienen deficiencias evidentes en su control de riesgos.

Contexto del proyecto y evaluación de riesgos

Según información pública, SYP es el token del proyecto Sypool, lanzado el 21 de septiembre de 2021. Pero, según los datos del mercado, se trata de un proyecto muy pequeño:

Este tamaño de mercado implica que, incluso si los atacantes acuñaran 16,000 tokens, su valor real sería muy limitado. Pero el problema no radica en la cantidad monetaria, sino en la seguridad del contrato en sí: un contrato no verificado puede ser explotado con tanta facilidad, lo que indica que los responsables del proyecto no realizaron una auditoría de seguridad exhaustiva antes del despliegue.

¿Por qué 193 transacciones?

La razón por la que los atacantes pudieron realizar 193 operaciones refleja dos problemas:

Defecto en el diseño del contrato

Los contratos no verificados generalmente no han sido revisados por terceros, como CertiK, Halborn u otros auditores de seguridad. Estos contratos suelen tener vulnerabilidades lógicas, controles de permisos inadecuados, riesgos de reentrada, etc.

Falta de mecanismos de protección

Los proyectos responsables suelen implementar limitaciones de velocidad (rate limiting), límites por transacción, listas blancas de llamantes, entre otras medidas de protección. Claramente, SynapLogic no cuenta con estas salvaguardas.

El panorama más amplio de la seguridad en la cadena

Este incidente no es aislado. Según los registros recientes de CertiK, los eventos de seguridad en la cadena ocurren con frecuencia: desde la estafa de un whale de 2.82 mil millones de dólares a principios de enero, hasta la explotación de diversas vulnerabilidades en contratos, lavado de dinero en pools de mezclado, etc. La gestión de riesgos en todo el ecosistema aún necesita fortalecerse. La existencia misma de empresas de seguridad como CertiK indica una realidad: los contratos y proyectos sin auditoría todavía abundan en Web3.

Lecciones para los inversores

La lección principal para los inversores en esta ocasión es clara:

• Las monedas pequeñas no son sinónimo de bajo riesgo; al contrario, por su menor atención y protección, son más vulnerables
• Los contratos no verificados son como “productos sin sello de garantía”, no participes en ellos
• Aunque el proyecto afirme que es “seguro”, siempre verifica si cuenta con informes de auditoría de una autoridad reconocida
• Los préstamos flash son una herramienta innovadora, pero también pueden ser armas para los atacantes

Resumen

La experiencia de SynapLogic es un ejemplo clásico de explotación de vulnerabilidades en contratos. Aunque las 193 transacciones son muchas, en esencia reflejan un mismo problema: los contratos no verificados no pueden soportar fondos de usuarios. La advertencia para toda la industria es que la auditoría de seguridad no es opcional, sino imprescindible. Los responsables de los proyectos deben completar auditorías de seguridad formales antes de lanzar, y los inversores deben verificar si un proyecto ha sido auditado antes de participar. En el rápido desarrollo de Web3, la seguridad debe ser siempre la prioridad.