Explotación financiera de Edel: datos en cadena muestran cómo un envoltorio casi vacío rompió a un prestamista de acciones tokenizadas

— By Tony Rabbit in News

Explotación financiera de Edel: datos en cadena muestran cómo un envoltorio casi vacío rompió a un prestamista de acciones tokenizadas

Un token de acciones de Alphabet envuelto con cero mercado en cadena se infló aproximadamente 78 veces para drenar a Edel Finance por aproximadamente $403,000. Rastreamos la transacción del exploit y extrajimos los datos colaterales que explican por qué funcionó.

El 1 de julio de 2026, un atacante drenó a Edel Finance, un mercado de préstamos DeFi creado para acciones tokenizadas, de aproximadamente $403,000. El mecanismo era inusual: el oráculo de los precios no se vio comprometido. Chainlink informó correctamente el precio real de las acciones de Alphabet todo el tiempo. El punto débil fue la garantía en sí, un token de acciones tokenizado envuelto que, según los datos en cadena de DEXTools, casi no tiene mercado detrás. Recuperamos la transacción del exploit y los datos del token para mostrar exactamente qué tan escasa era la garantía y por qué eso hizo posible el ataque.

~$403K
protocolo de insolvencia (confirmado por el equipo)
~78x
sobrevaloración de garantías (alrededor del 7.700%)
0
titulares en cadena del token de garantía wGOOGLx
228
Transferencias ERC-20 en una transacción de exploit

El incidente de un vistazo

  • Protocolo: Edel Finance (Edel Lending V1), un mercado de préstamos de Ethereum para acciones tokenizadas (xStocks).
  • Cuándo: 1 de julio de 2026, transacción de explotación confirmada a las 00:24:47 UTC en el bloque 25434062.
  • Cómo: un préstamo rápido financió depósitos repetidos en una bóveda de tokens envueltos, inflando el tipo de cambio interno de la bóveda, por lo que el precio de la garantía era aproximadamente 78 veces superior.
  • No es un truco de alimentación de Oracle: el precio de Chainlink para Alphabet se mantuvo correcto en aproximadamente $ 357 en todo momento.
  • Consecuencias: Blockaid lo marcó en tiempo real, los fondos se dirigieron a Tornado Cash y Edel pausó todos los contratos V1.

Lo que realmente muestra la transacción de exploit

Abrimos la transacción de exploit en la red principal de Ethereum y la decodificamos de forma independiente. Es una transacción única de creación de contrato enviada desde una billetera recién financiada (0x5842...11C76), y fue la primera transacción de esa billetera. En su interior, el recibo registra 502 eventos, de los cuales 228 son transferencias de tokens ERC-20 que afectan a 17 contratos de tokens distintos. Esa única transacción es todo el ataque.

Las transferencias se asignan limpiamente al mecanismo. Un préstamo rápido de moneda estable de aproximadamente 180.000 USDC (según información procedente de Morpho) proporcionó el capital de trabajo. Luego, el atacante hizo circular acciones tokenizadas de Alphabet (GOOGLx) dentro y fuera de la bóveda de tokens envueltos que emite wGOOGLx, el token que Edel acepta como garantía. Fundamentalmente, la transacción no solo toma prestado USDC. Abre posiciones de deuda variable en todas las reservas del mercado a la vez: podemos ver los tokens de deuda interna del protocolo para wGOOGLx, wSPYx, wQQQx, wMSTRx, wNVDAx y USDC, todos acuñados dentro de la misma transacción. En términos sencillos, el atacante utilizó la garantía inflada para pedir prestado todo el conjunto de préstamos, no sólo la reserva en dólares.

ContratoPapel en el ataqueTransferencias
wGOOGLxWrapped Alphabet xStock, la garantía manipulada122
variableDeudaGOOGLxToken de deuda de Edel acuñado cuando el atacante tomó prestado41
ewGOOGLxRecibo de suministro de Edel para wGOOGLx40
USDCCapital de préstamo flash y reserva prestada6
GOOGLxAlphabet xStock subyacente donado a la bóveda2
wSPYx, wQQQx, wMSTRx, wNVDAx, wTSLAx (+ tokens de deuda)Otras reservas tomadas en préstamo contra la garantía inflada2 cada uno

Roles de token decodificados del recibo de transacción de exploit en la red principal de Ethereum. Posteriormente, a la billetera se le asignó una delegación EIP-7702, un detalle consistente con una cuenta de ataque desechable especialmente diseñada.

El mecanismo: una tasa de bóveda, no un feed de precios

La parte sutil es por qué un precio preciso de Chainlink no protegió el protocolo. Edel valoró la garantía de wGOOGLx leyendo la propia tasa de conversión de la bóveda de tokens envueltos, la cantidad de GOOGLx subyacente que vale cada acción de wGOOGLx. Esa tasa se expone a través de una interfaz estándar de bóveda tokenizada y se puede aumentar donando activos directamente a la bóveda. Según Edel y la firma de seguridad SlowMist, el atacante canjeó y donó repetidamente GOOGLx para elevar la proporción de activos por acción de la bóveda de aproximadamente 6 a casi 79. El contrato de préstamo de Edel leía esa tasa inflada como evangelio, por lo que una pequeña cantidad de wGOOGLx de repente valía alrededor de 78 veces lo que debería haber sido, aproximadamente una sobrevaluación de 7,700%. El oráculo decía la verdad sobre la población; el protocolo estaba haciendo la pregunta equivocada.

Este es un primo cercano de la manipulación de precios clásica y pertenece a la misma familia que los ataques que cubrimos en nuestra explicación sobre manipulación de Oracle en DeFi y el vector de donación ERC-4626 detallado en nuestro guía de ataque de préstamos flash. La causa fundamental mencionada por los analistas fue una vía de valoración sin límites de tasas ni protección de donaciones.

Los datos de DEXTools: por qué la garantía era frágil por construcción

Aquí es donde los datos en cadena convierten una historia de cable en una estructural. Obtuvimos datos de tokens de DEXTools para los activos en el centro del ataque. El token de garantía en sí, wGOOGLx, es efectivamente un activo fantasma: DEXTools lo muestra con 0 titulares, un suministro total de aproximadamente 0,12 tokens, sin capitalización de mercado y una puntuación DEXT de 0. No tiene ningún mercado independiente, sin embargo, se estaba utilizando para respaldar préstamos reales.

La acción tokenizada subyacente, GOOGLx, parece más saludable en el papel, pero cuenta la misma historia en el fondo. Tiene una capitalización de mercado de aproximadamente $ 25,7 millones, pero solo 350 titulares, y su puntuación DEXT se descompone en una subpuntuación de liquidez, o grupo, de solo 1 sobre 100. Un activo supuestamente de $ 25 millones con una puntuación de grupo de 1 es un token que apenas se negocia en la cadena. Esa delgadez es el punto: cuando un activo casi no tiene mercado real, su tasa interna es barata de mover.

Token de garantía (reserva Edel)Titulares en cadenaPuntuación DEXT
wGOOGLx (manipulado)00
wQQQx2654
wMSTRx3654
wNVDAx3854
wTSLAx4754
wSPYx13269

Instantánea actual de DEXTools del conjunto de garantías envueltas xStock de Edel. El número de poseedores es pequeño en todos los ámbitos, y wGOOGLx, el token que el atacante decidió inflar, era el más vacío de todos. Los valores son una instantánea en vivo y cambiarán.

Lean juntos, los números explican la selección del objetivo. Todas las reservas envueltas en este mercado eran pequeñas, pero wGOOGLx era la más escasa, sin tenedores y una oferta insignificante. Ese es precisamente el token que elegirías si tu plan es mover el tipo de cambio de una bóveda con un puñado de donaciones. Puede realizar las mismas comprobaciones en cualquier token usted mismo con nuestro Comprobador de seguridad de tokens, y nuestro explicador en el Puntuación DEXT cubre lo que significa la subpuntuación de liquidez.

¿Cuánto se perdió realmente?

La cifra principal es de aproximadamente $403,000, la cifra de deudas incobrables confirmada por el equipo de Edel y citada por la mayoría de los medios, y se alinea con los datos de DeFiLlama que muestran que el valor total bloqueado del mercado colapsó de aproximadamente $630,000 a alrededor de $947, descrito como su mayor salida neta registrada. Vale la pena ser preciso, porque las empresas de seguridad dimensionaron la pérdida de manera diferente: las estimaciones iniciales oscilaron entre aproximadamente $204 000 (CertiK) y aproximadamente $353 000 (Cyvers), pasando por ~$403 000 de pérdida y ~$305 000 de ganancia del atacante reportados por GoPlus. La brecha es la habitual entre los fondos drenados, las deudas incobrables residuales y el beneficio neto del atacante. Tratamos ~$403,000 como la pérdida del protocolo y el resto como un rango, no como un solo número establecido.

Respuesta y lo que significa para DeFi de acciones tokenizadas

Edel suspendió todos los contratos V1, que permanecen fuera de línea, y dijo que absorbería la deuda incobrable y restauraría los saldos de los depositantes uno a uno. El equipo le ofreció al atacante un acuerdo de sombrero blanco, aunque los fondos ya se habían enviado a Tornado Cash, y dijo que se está implementando una V2 rediseñada con un nuevo sistema de valoración. La lección inmediata es estrecha y técnica: nunca derive un precio colateral de una tasa global que cualquiera pueda manipular donando a la bóveda.

La lección más amplia es la que los datos de DEXTools hacen difícil de ignorar. Las acciones tokenizadas son una de las narrativas de más rápido crecimiento en 2026, desde L2 propia de Robinhood para Promoción de productos de Coinbase. Pero un activo puede tener un precio en el mundo real y aun así casi no tener mercado en la cadena, y los mercados delgados son una garantía frágil. Hicimos el mismo comentario sobre la realidad de la liquidez en nuestra mirada al comercio de xStocks en BNB Chain. Antes de que se confíe en un token de capital tokenizado como garantía, o como cualquier otra cosa, la pregunta en la cadena no es solo cuánto vale la acción, sino también si el token tiene algún mercado. Comprobar que un grupo no puede manipularse trivialmente es la misma disciplina que verificar un bloqueo de liquidez antes de confiar en él.

Metodología y descargo de responsabilidad: los hechos del incidente se extraen de las declaraciones públicas de Edel Finance y de los informes de CoinDesk, AMBCrypto, CryptoSlate y otros, con análisis de seguridad atribuidos a Blockaid, SlowMist, GoPlus, Cyvers y CertiK. El seguimiento de la transacción (bloque 25434062, 228 transferencias ERC-20, 17 contratos de token) se decodificó independientemente de la red principal de Ethereum, y las cifras del titular del token, la capitalización de mercado y la puntuación DEXT son una instantánea en vivo de DEXTools tomada poco después del evento; Todos los valores en cadena cambian con el tiempo. Las estimaciones de pérdidas varían según la empresa y se presentan como un rango. Este artículo es sólo para información y no es un consejo financiero.