Los hacks de criptomonedas de junio aumentan a medida que Gnosis Pay y TesseraDAO son explotados

— By Tony Rabbit in Markets

Los hacks de criptomonedas de junio aumentan a medida que Gnosis Pay y TesseraDAO son explotados

Dos nuevos exploits afectaron a las criptomonedas en los primeros días de junio de 2026. Gnosis Pay vio una protección de tarjeta eludida, mientras que TesseraDAO perdió alrededor de 2.5 millones de dólares en un ataque de acuñación y venta masiva (mint-and-dump) blanqueado a través de Tornado Cash.

Los primeros días de junio de 2026 trajeron dos entradas más a una creciente lista de hacks de criptomonedas. Dos exploits separados afectaron diferentes partes del mercado: Gnosis Pay, una plataforma de tarjetas cripto de autocustodia, y TesseraDAO, un proyecto de tokens en BNB Chain. Ninguno de los incidentes fue pequeño, y ambos se sumaron a un recuento de pérdidas que ha ido en aumento a lo largo del año.

Los ataques ocurrieron con días de diferencia y siguieron manuales que se han vuelto familiares en 2026. Uno se dirigió a una característica de seguridad destinada a ralentizar el robo. El otro utilizó un esquema clásico de acuñación y venta masiva (mint-and-dump), luego pasó las ganancias a través de un protocolo de mezcla para ocultar el rastro. Aquí está lo que sucedió, explicado en términos sencillos, junto con pasos simples que los usuarios pueden tomar para mantenerse más seguros.

Qué le pasó a Gnosis Pay

Gnosis Pay ofrece una tarjeta cripto de autocustodia, un producto que permite a los usuarios gastar criptomonedas directamente mientras mantienen el control de sus propios fondos en lugar de entregarlos a un custodio central. Para proteger a los usuarios, la plataforma incorporó una característica que llama módulo de retardo. La idea es sencilla: cuando se solicita una transacción saliente, el sistema impone una espera de tres minutos antes de que se realice. Esa breve pausa está destinada a dar tiempo al usuario para detectar y cancelar una transferencia maliciosa o errónea antes de que salga el dinero.

Un atacante encontró un error que permitía eludir esta protección. Al sortear el módulo de retardo, el explotador pudo realizar transacciones sin el período de espera incorporado que se suponía que actuaba como última línea de defensa. Las características de seguridad como los retrasos de tiempo son comunes en los productos de autocustodia precisamente porque añaden fricción para los atacantes, por lo que una elusión socava la promesa central del diseño.

Ilustración de una tarjeta cripto de autocustodia con una característica de seguridad de retardo de tiempo siendo eludida

El exploit de TesseraDAO

El incidente de TesseraDAO fue mayor en términos de dólares y más agresivo en su ejecución. Un atacante acuñó 99 millones de tokens TSR en BNB Chain y luego los intercambió por aproximadamente 2.5 millones de dólares en USDT, una stablecoin vinculada al dólar. La avalancha de tokens recién creados que llegaron al mercado hizo que el precio de TSR cayera aproximadamente un 99 por ciento, aniquilando la mayor parte del valor del token casi instantáneamente.

El explotador no se detuvo ahí. Después de retirar el dinero, el atacante transfirió los fondos de BNB Chain a Ethereum y luego los blanqueó, enviando aproximadamente 1,285.5 ETH a través de Tornado Cash, un protocolo de mezcla utilizado para ocultar el origen y el destino de los fondos. La combinación de pasos es lo que hizo que el ataque fuera efectivo: acuñar, vender masivamente, transferir y blanquear.

Cómo funciona un exploit de acuñación y venta masiva (Mint-and-Dump)

A grandes rasgos, un exploit de acuñación y venta masiva (mint-and-dump) se basa en la capacidad del atacante para crear nuevos tokens de la nada. Si un contrato inteligente tiene una falla o un permiso que permite a alguien acuñar una gran cantidad, esa persona puede de repente poseer un enorme número de tokens que no existían un momento antes.

El siguiente paso es la venta masiva (dump). El atacante vende rápidamente esos tokens recién acuñados en un mercado, a menudo intercambiándolos por una stablecoin u otro activo con valor real. Debido a que el mercado tiene una liquidez limitada, la venta masiva de una gran cantidad hace que el precio caiga bruscamente, razón por la cual TSR cayó aproximadamente un 99 por ciento. El atacante se lleva activos valiosos mientras que los poseedores ordinarios se quedan con tokens que valen una fracción de lo que pagaron.

Cómo funciona el blanqueo a través de un mezclador

Una vez que un atacante tiene fondos valiosos, el objetivo cambia a ocultar el rastro. Las blockchains públicas registran cada transacción, por lo que cualquiera puede seguir el dinero de una dirección a la siguiente. Un protocolo de mezcla como Tornado Cash está diseñado para romper esa cadena visible. En términos sencillos, un mezclador agrupa depósitos de muchas fuentes diferentes y luego permite a los usuarios retirar fondos de una manera que dificulta vincular un retiro específico a un depósito específico.

El puenteo añade otra capa. Al mover fondos de BNB Chain a Ethereum primero, el atacante traslada el dinero entre redes antes de mezclarlo, lo que complica aún más el rastreo. Nada de esto es una guía para cometer delitos; simplemente explica por qué los investigadores a menudo pierden el rastro de los fondos robados después de que pasan por un puente y un mezclador.

Un patrón familiar en 2026

El ataque a TesseraDAO siguió un patrón que se ha repetido este año: acuñar, vender masivamente, transferir, blanquear. Cada etapa resuelve un problema diferente para el atacante. La acuñación crea los activos, la venta masiva los convierte en algo útil, la transferencia los aleja de la escena y el blanqueo oculta el destino.

Diagrama que muestra las etapas de acuñación, venta masiva, puenteo y blanqueo de un exploit de token

El contexto más amplio es aleccionador. Los hackers han drenado grandes sumas a lo largo de 2026, incluyendo cientos de millones de dólares de puentes entre cadenas, que se encuentran entre redes y mantienen activos agrupados que los convierten en objetivos atractivos. Los exploits de Gnosis Pay y TesseraDAO son dos puntos de datos más en un año en el que los atacantes han encontrado y utilizado repetidamente debilidades, ya sea en un módulo de seguridad o en los permisos de acuñación de un contrato de token.

Cómo mantenerse seguro

Los usuarios no pueden prevenir todos los exploits, pero algunos hábitos reducen la exposición. Siempre verifique que está utilizando una aplicación o sitio web oficial antes de conectar una billetera o ingresar credenciales, ya que los clones falsos son comunes. Sea cauteloso con los tokens nuevos o de baja liquidez, donde una única venta grande puede mover el precio drásticamente y donde los riesgos del contrato son más difíciles de evaluar.

Esté atento a los cambios repentinos en el suministro. Un token cuya oferta total aumenta sin una razón clara y anunciada puede ser una señal de advertencia de un exploit de acuñación en curso. Las herramientas que muestran datos en cadena pueden ayudar aquí. Antes de operar, verificar el suministro y la liquidez de un token en una plataforma como DEXTools puede darle una imagen más clara de lo que está comprando. Nada de esto es asesoramiento financiero, pero un poco de verificación ayuda mucho.

En resumen

Los exploits de Gnosis Pay y TesseraDAO muestran dos extremos del mismo problema. Un ataque derrotó una característica construida para proteger a los usuarios, y el otro convirtió una falla de contrato en aproximadamente 2.5 millones de dólares antes de desaparecer a través de un puente y un mezclador. A medida que el recuento de hacks de 2026 sigue aumentando, las lecciones básicas siguen siendo las mismas: verifique lo que usa, desconfíe de los tokens desconocidos y preste atención a los datos en cadena que pueden señalar problemas temprano.