Protocolo Cork explotado por $12 millones en wstETH Drain - DeFi Hack News 2026

Cork Protocol, una plataforma basada en Ethereum centrada en tokenizar el riesgo de depeg, fue drenada por aproximadamente $12 millones en ETH envuelto (wstETH). El atacante utilizó un contrato malicioso para retirar 3.761,87 wstETH de las bóvedas del protocolo y luego consolidó las ganancias en ETH bruto sin lavarlas inmediatamente. Los contratos se suspendieron en cuestión de horas. El exploit es el último de una serie de DeFi fallos de seguridad que han caracterizado el 2026.

¿Qué pasó?

Cork Protocol reveló que un atacante drenó 3.761,87 wstETH, con un valor aproximado de 12 millones de dólares a los precios vigentes, del protocolo a través de una interacción de contrato maliciosa. El exploit fue contenido en cuestión de horas, y Cork detuvo los contratos inteligentes relevantes para evitar pérdidas adicionales. El wstETH robado se desenvolvió y se convirtió en ETH nativo, luego se consolidó en una única dirección controlada por el atacante.

A partir de los controles en cadena más recientes, los fondos no se habían movido a través de Tornado Cash, Railgun ni ningún puente entre cadenas. Ese patrón de espera es notable. En muchos exploits de DeFi, los atacantes se apresuran a lavar fondos en cuestión de horas. Hasta ahora, el atacante de Cork ha mantenido las ganancias depositadas en ETH, lo que deja abierta al menos una ventana de recuperación teórica si Cork o sus homólogos encargados de hacer cumplir la ley pueden negociar una devolución.

Cork no ha revelado la autopsia técnica completa del exploit. Las comunicaciones públicas del protocolo confirman el patrón de contrato malicioso y el retiro de wstETH, pero no se ha publicado la vulnerabilidad precisa. Esa brecha es típica durante las primeras 48 horas después de un ataque, mientras los equipos completan análisis forenses y sopesan las ventajas y desventajas de la divulgación.

Lo que realmente hace el Protocolo Cork

Cork es una primitiva DeFi relativamente joven centrada en un problema de nicho pero interesante: tokenizar el riesgo de desvinculación de activos. El protocolo permite a los usuarios comprar y vender "swaps depeg", instrumentos que pagan si un activo objetivo, por ejemplo stETH o USDC, se desvía de su vinculación esperada en más de un umbral definido. La estructura es similar a los swaps de incumplimiento crediticio en las finanzas tradicionales.

Para respaldar esos swaps, Cork mantiene el activo subyacente, en este caso wstETH, en bóvedas de garantía. El intercambio de depeg luego se paga desde esas bóvedas cuando se activa un evento de depeg. Las bóvedas son exactamente la superficie a la que se dirigió el exploit: al interactuar a través de un contrato malicioso, el atacante pudo extraer garantías sin el correspondiente desencadenante de depeg.

El producto en sí es conceptualmente sólido. El exploit es una falla en la implementación del contrato inteligente, no una falla del modelo económico de depeg-swap. Esa distinción es importante para cualquier reconstrucción: el producto subyacente puede sobrevivir a un incidente de seguridad si el equipo puede articular la vulnerabilidad, parchearla, auditar la solución y comunicarse de forma transparente con los depositantes.

Dónde se ubica esto en el panorama del hackeo de 2026

2026 ha sido un año brutal para la seguridad DeFi. El total robado de los protocolos DeFi este año ya supera los 2 mil millones de dólares. El mayor incidente sigue siendo el exploit del puente KelpDAO de 292 millones de dólares atribuido al Grupo Lazarus de Corea del Norte, que drenó 116.500 rsETH mediante manipulación envenenada de RPC. Drift Protocol perdió 280 millones de dólares en un ataque separado vinculado a Lazarus en Solana. El Protocolo Cetus en Sui perdió 223 millones de dólares debido a una falla de desbordamiento de AMM. El puente Ethereum de Verus fue explotado por más de $5,400 equivalentes a ETH en mayo.

Los 12 millones de dólares de Cork son pequeños en comparación, pero se ajustan a un patrón. La mayoría de los exploits de 2026 provienen de uno de tres vectores: fallas de verificación de puentes, manipulación de Oracle o errores de lógica de contratos inteligentes en protocolos más nuevos que escalaron antes de completar auditorías exhaustivas. El corcho pertenece a la tercera categoría. El protocolo es joven, el producto es novedoso y la superficie de ataque es lo suficientemente compleja como para que incluso los revisores bien intencionados puedan pasar por alto rutas críticas.

Impacto en el mercado

El impacto directo en wstETH y el ecosistema de participación de Ethereum más amplio es mínimo. La flotación stETH de Lido supera los $ 30 mil millones, y la variante envuelta wstETH circula en un tamaño similar. Una extracción de 12 millones de dólares está dentro de la banda de ruido de los flujos de liquidez normales. El propio Lido no se ve afectado: el wstETH se mantuvo en las bóvedas de Cork, no en los contratos de Lido.

La respuesta más amplia del mercado fue silenciosa. El precio de ETH no reaccionó significativamente a la divulgación y stETH continuó cotizando estrechamente a su paridad. La naturaleza contenida del exploit, combinada con el pequeño tamaño de Cork en relación con los principales protocolos DeFi, mantuvo el contagio limitado.

Para los depositantes de Cork, el impacto es más directo. El TVL del protocolo ahora es inferior a la cantidad robada, y cualquier recuperación depende de la negociación con el atacante o de una eventual acción policial. El equipo aún no ha publicado un plan de remediación, incluido si los usuarios afectados serán compensados ​​por el tesoro o si el protocolo reanudará sus operaciones después de un parche y una auditoría.

Contexto: la cuestión de la recuperación

Una característica distintiva del exploit Cork es el comportamiento del atacante después del robo. Los fondos permanecen en ETH, en una única dirección, sin mezclar. Este patrón a veces es consistente con la actividad de sombrero blanco o de sombrero gris, donde un explotador tiene la intención de devolver fondos a cambio de una recompensa. También es consistente con que los atacantes esperen el período de escrutinio inicial antes del lavado, con la esperanza de que la atención sobre el cumplimiento se desvanezca.

Cork no ha revelado si ha comenzado la comunicación en cadena con el atacante. En varios incidentes anteriores, los protocolos han negociado con éxito retornos ofreciendo entre el 10% y el 20% de los fondos robados como recompensa por errores y un acuerdo de no enjuiciamiento. El caso del Protocolo Cetus a principios de 2026 es un precedente relevante: Cetus ofreció al hacker una recompensa de 6 millones de dólares por el robo de 223 millones de dólares, y las negociaciones de recuperación parcial se desarrollaron públicamente en la cadena.

Si el atacante de Cork acepta un acuerdo de recompensa similar, el protocolo podría recuperar un capital significativo y reanudar las operaciones. De lo contrario, es probable que los fondos permanezcan en ETH durante un período prolongado antes de cualquier movimiento, ya que la mayor atención de las autoridades sobre las rutas de lavado de criptomonedas ha hecho que las salidas discretas sean sustancialmente más difíciles que hace dos años.

Cómo realizar un seguimiento

El wstETH robado y su derivado ETH se pueden rastrear en Etherscan a través de la dirección consolidada del atacante, que ha sido publicada por varias cuentas forenses en cadena. El movimiento de esos fondos, especialmente hacia un mezclador o un puente, sería la primera señal de que la recuperación es poco probable.

Para los usuarios de Cork, los canales del protocolo oficial son la única fuente de compensación o plazos de reinicio. Los servicios genéricos de monitoreo de DeFi, incluidos DeFiLlama y DexTools, reflejarán cualquier TVL o recuperación comercial a medida que se materialice.

Preguntas frecuentes

¿Sigue operativo el Protocolo del Corcho?

Las operaciones están en pausa a partir del exploit. El equipo aún no ha anunciado un cronograma de reinicio. El funcionamiento futuro depende de la solución de la vulnerabilidad, la finalización de la auditoría y cualquier plan de compensación para los usuarios afectados.

¿Se ven afectados los usuarios de Lido?

No. El exploit drenó el ETH que se encontraba dentro de las bóvedas de Cork, no dentro de los contratos de Lido. stETH y wstETH continúan operando normalmente y la infraestructura de Lido no se ve afectada.

¿Se pueden recuperar los fondos?

Posiblemente. El ETH robado permanece en una única dirección controlada por el atacante sin actividad de lavado todavía. La recuperación depende de la negociación, el retorno voluntario o una eventual acción policial.

¿El exploit de Cork estuvo vinculado a Corea del Norte?

No se ha realizado ninguna atribución pública. Varios exploits importantes de DeFi en 2026 se han vinculado al Grupo Lazarus, pero Cork no se ha asociado con actores patrocinados por el estado hasta el momento en que se informó públicamente.

¿Cómo se compara esto con los trucos más importantes de 2026?

La pérdida de Cork de 12 millones de dólares es pequeña en comparación con los incidentes de KelpDAO de 292 millones de dólares, Drift de 280 millones de dólares o Cetus de 223 millones de dólares. Se ajusta a una cadencia constante de exploits DeFi de tamaño medio que, en conjunto, representan la mayoría de las pérdidas de DeFi de más de 2.000 millones de dólares en 2026.