Seguridad DeFi en 2025: El Caso de WLFi y la Nueva Amenaza del EIP-7702
La promesa de las finanzas descentralizadas (DeFi) sigue creciendo, pero con ella también evolucionan los desafíos de seguridad. En este panorama, el lanzamiento de proyectos de alto perfil se convierte en un campo de batalla entre desarrolladores y ciberdelincuentes. Un ejemplo paradigmático es el de World Liberty Financial (WLFI), un token asociado a Donald Trump que, a principios de 2025, se vio inmerso en una tormenta de ataques dirigidos. Su respuesta no solo protegió a los inversores, sino que reavivó el debate sobre hasta dónde debe llegar un proyecto para garantizar la seguridad en un ecosistema que idealiza la autocustodia.
El Tsunami de Amenazas Tras el Lanzamiento de WLFI en 2025
El desbloqueo de 24.600 millones de tokens WLFI a inicios de 2025 fue el equivalente a desplegar un festín para los piratas informáticos. Es crucial entender que la integridad del protocolo de WLFI nunca se vio comprometida. El ataque se centró en el eslabón más débil de la cadena: el usuario final.
Los vectores de ataque identificados fueron múltiples. El primero y más tradicional fue el compromiso de cuentas de usuarios mediante la pérdida de claves privadas o dispositivos infectados con malware. El segundo, más sofisticado, involucró la creación de «clones agrupados» (bundled clones), contratos inteligentes falsos que imitaban al legítimo para engañar a los holders y robar sus fondos. Pero la amenaza más novedosa y preocupante vino de la mano de una nueva técnica de phishing que explotaba el estándar EIP-7702.
Blacklisting Onchain: La Medida Preventiva de WLFI
Frente a esta avalancha, el equipo de WLFI desplegó una defensa proactiva y contundente: el blacklisting onchain. Esta medida consiste en la capacidad de invalidar o congelar direcciones de cartera específicas directamente en la blockchain, impidiendo que realicen transacciones.
Antes incluso del lanzamiento, una cartera designada por WLFI ejecutó una serie de transacciones de «blacklisting masivo» para inhabilitar preventivamente cuentas que ya habían sido identificadas como comprometidas o fraudulentas.
Esta acción fue fundamental para proteger el mecanismo central del proyecto: el Lockbox (una caja de seguridad o sistema de vesting). Al incluir estas direcciones en la lista negra, se impidió que los atacantes pudieran drenar los tokens asignados que estaban bajo este esquema de bloqueo.
WLFI optó por la transparencia, proporcionando comprobantes de estas transacciones onchain en exploradores de blockchain como Etherscan, una jugada que demuestra una ejecución técnica audaz y un compromiso con la protección de su comunidad. Según los reportes, el equipo está trabajando con los usuarios afectados para recuperar el acceso a sus cuentas legítimas.
EIP-7702: La Nueva Brecha de Seguridad que Amenaza a Ethereum
Para comprender la profundidad de una de estas amenazas, es necesario adentrarse en el EIP-7702. Esta propuesta, parte de la actualización Pectra de Ethereum, buscaba simplificar la experiencia del usuario. Su objetivo loable era permitir que las cuentas normales actuasen temporalmente como carteras inteligentes, facilitando las transacciones por lotes. Sin embargo, como suele ocurrir, la innovación en usabilidad trajo consigo un nuevo riesgo inesperado.
Expertos de la firma de seguridad SlowMist, incluyendo a su fundador Yu Xian, identificaron un peligroso «vector de ataque offchain». Arda Usman, auditora de contratos inteligentes, lo explicó con claridad: «es posible que los atacantes drenen los fondos de los usuarios con solo un mensaje firmado offchain».
En términos simples, los hackers pueden engañar a un usuario para que firme un mensaje aparentemente inofensivo fuera de la blockchain, y luego usar esa firma para autorizar el robo de todos sus fondos, sin necesidad de que la víctima apruebe una transacción directa en la red. Este fue el método de precisión utilizado contra algunos holders de WLFI.
Lecciones de Seguridad: Responsabilidad del Proyecto vs. Autocustodia
El caso de WLFI plantea un dilema fundamental en el mundo de las criptomonedas. Por un lado, está el principio sagrado de la autocustodia: cada usuario es el único y último responsable de la seguridad de sus claves privadas. Por el otro, surge la pregunta de si los proyectos tienen una responsabilidad ética, e incluso de supervivencia, de implementar mecanismos de protección para sus comunidades, especialmente cuando fallan las medidas individuales.
La acción de WLFI establece un precedente claro de respuesta proactiva. Demuestra que los equipos pueden y deben tener protocolos listos para actuar ante incidentes de seguridad. Sin embargo, también abre el debate sobre la centralización: ¿estamos dispuestos a aceptar que una entidad central pueda congelar activos, incluso por una buena causa?
Este caso subraya que la seguridad en DeFi es una responsabilidad compartida. Los desarrolladores deben priorizar las auditorías y los mecanismos de respuesta, mientras que los usuarios deben elevar constantemente sus conocimientos sobre prácticas de autocustodia segura. La evolución de las amenazas, como el exploit del EIP-7702, nos recuerda que la educación nunca es opcional.
Un Recordatorio sobre los Riesgos y Avances en la Seguridad Cripto
El éxito de WLFi en mitigar este ataque es un hito en la defensa proactiva en DeFi. Su uso del blacklisting onchain protegió a su comunidad de un daño financiero significativo. No obstante, este episodio sirve como un recordatorio contundente de que el ecosistema sigue enfrentándose a amenazas complejas y en constante evolución, donde la ingeniería social y los nuevos estándares técnicos pueden abrir brechas inesperadas.
La lección final es clara: por más salvaguardas que implementen los proyectos, la última y más importante línea de defensa siempre será un usuario informado y cauteloso. La invitación es a investigar siempre los contratos inteligentes con los que interactúa, a utilizar hardware wallets para almacenar sus activos más valiosos y, sobre todo, a mantenerse alerta e informado sobre las últimas tácticas de los ciberdelincuentes. En la blockchain, la prudencia es el activo más valioso.
