Tron DAO y Curve Finance hackeados: Cómo perdieron $45K y lecciones de seguridad

Introducción

El año 2025 ha sido testigo de un aumento preocupante en los ataques cibernéticos dirigidos a cuentas de X (antes Twitter) vinculadas al ecosistema cripto. Los casos más recientes involucran a Tron DAO y Curve Finance, dos proyectos de alto perfil que sufrieron hackeos mediante ingeniería social y enlaces fraudulentos. Estos incidentes no solo generaron pérdidas económicas, sino que también expusieron vulnerabilidades críticas en la seguridad de las redes sociales.

A continuación, un análisis detallado de lo ocurrido, las repercusiones y las lecciones que deja esta ola de ataques.

1. Hackeo de Tron DAO: Ingeniería social y $45K perdidos

Fecha del incidente: 2 de mayo de 2025.

¿Cómo ocurrió?

El ataque comenzó con un engaño a un miembro del equipo de Tron DAO mediante un mensaje directo que simulaba ser una solicitud legítima. El hacker logró acceso a la cuenta oficial de X y publicó un contrato fraudulento que prometía beneficios a cambio de depósitos en criptomonedas.

Acciones del hacker:

• Publicó un mensaje solicitando fondos bajo la excusa de una «promoción exclusiva».
• Envió mensajes directos a seguidores ofreciendo «recompensas» por participar.

Impacto financiero y reputacional:

• Pérdidas estimadas: $45,000 en fondos robados.
• Daño a la confianza: Muchos usuarios cuestionaron la seguridad de Tron, pese a su historial sólido en blockchain.

Respuesta de Tron:

• Recuperaron la cuenta en menos de 24 horas.
• Colaboraron con autoridades y exchanges como OKX para rastrear fondos (aunque inicialmente Justin Sun acusó a OKX de no actuar, luego retiró la denuncia).

«Nuestro equipo de seguridad identificó rápidamente la intrusión, pero pedimos a la comunidad que mantenga la vigilancia.»

Análisis: Este caso revela que incluso proyectos con equipos de seguridad avanzados pueden caer en trampas de ingeniería social. La rapidez en la respuesta mitigó daños mayores, pero el incidente dejó en evidencia la necesidad de mayor capacitación en phishing para empleados.

2. Hackeo de Curve Finance: El silencioso robo de una cuenta verificada

Fecha del incidente: 5 de mayo de 2025.

¿Cómo ocurrió?

A diferencia de Tron, el ataque a Curve Finance fue más sigiloso. El hacker tomó control de la cuenta sin alertar al equipo, eliminando accesos legítimos.

Acciones del hacker:

• Publicó un falso airdrop de CRV con un enlace malicioso.
• Bloqueó a usuarios como CrediBULL Crypto, que intentaron alertar sobre el fraude.

Respuesta de Curve:

• Recuperaron la cuenta con ayuda del grupo de ciberseguridad SEAL.

«El control de la cuenta de X fue tomado silenciosamente por alguien.» – Michael Egorov, fundador de Curve

Análisis: Este caso sugiere un posible fallo en la autenticación de dos factores (2FA) o un acceso interno comprometido. La falta de transparencia inicial generó desconfianza en la comunidad, algo delicado para un protocolo DeFi con billones en TVL (Total Value Locked).

3. Otros hackeos recientes en X

Los ataques a Tron y Curve no son aislados. Otros incidentes en 2025 incluyen:

• Lucy Powell (miembro del Parlamento UK, 15 de abril): Promovió un token scam llamado «House of Commons Coin».
• Kaito AI (15 de marzo): Difundió una falsa alerta sobre wallets comprometidas, causando pánico.
• Pump.fun (26 de febrero): Su cuenta promocionó tokens fraudulentos, afectando a inversores minoristas.

Patrón común: Todos usaron cuentas verificadas para dar legitimidad a estafas.

4. Conclusión: Lecciones y recomendaciones

Estos hackeos demuestran que las redes sociales son el eslabón más débil en la seguridad cripto. Aunque los protocolos blockchain son robustos, un simple descuido en X puede costar miles.

¿Qué deben hacer proyectos y usuarios?

• Habilitar autenticación en dos pasos (2FA) con app, no SMS.
• Verificar comunicaciones oficiales en múltiples canales (Discord, Telegram, sitio web).
• Reportar cuentas comprometidas inmediatamente.

Opinión:

La responsabilidad es compartida: X debe mejorar sus sistemas de verificación, mientras que los proyectos deben capacitar a sus equipos contra phishing. La descentralización no sirve si un hacker controla tu cuenta de Twitter.

¿Qué opinas?

• ¿Crees que X hace lo suficiente para proteger cuentas verificadas?
• ¿Has sido víctima de un scam en redes sociales?
• ¿Qué medidas adicionales propondrías?

¡Comenta y comparte tus experiencias! #CriptoSeguridad

(Fuentes: Informes de Tron DAO, Curve Finance, SEAL; datos de Chainalysis sobre hackeos en 2025.)

Publicaciones relacionadas:

El Mayor Hackeo de Criptomonedas de la Historia: Cómo el Lazarus Group Robó $1.400M a Bybit Bybit Recupera el 7% de Cuota de Mercado Tras Histórico Hackeo de $1,400 Millones KiloEx Recupera $5.5 Millones Tras Ofrecer Recompensa al Hacker: Lecciones del Ataque Hackeos en DeFi superan $92M en abril 2025: ¿Cómo proteger tus criptoactivos?