Seedify, una incubadora web3 conocida por apoyar proyectos de videojuegos y metaverso, confirmó que su bridge de tokens SFUND fue vulnerado el 23 de septiembre. Los atacantes lograron robar más de $1.2 millones mediante la creación (minting) de tokens no autorizados y su movimiento a través de múltiples chains. El hackeo, que sacudió la confianza de la comunidad, ha sido vinculado a un grupo afiliado al estado de Corea del Norte con un historial de ataques a infraestructura web3.
Seedify sufre una brecha de seguridad de $1.2 millones
Paga menos por tus juegos.
Consigue descuentos de hasta 80%
Cómo obtuvieron acceso los atacantes
La brecha ocurrió cuando se utilizó una clave de desarrollador robada para tomar el control del contrato del bridge OFT de Seedify. Aunque el contrato había superado auditorías de seguridad anteriormente, los atacantes pudieron evadir los controles normales al explotar los permisos vinculados a la clave comprometida. Esto les permitió crear una gran cantidad de nuevos tokens SFUND en Avalanche sin mover realmente fondos entre chains.
Los tokens fueron rápidamente movidos a través de un bridge hacia Ethereum, Arbitrum y Base, donde se drenaron los liquidity pools. La etapa final y más dañina se desarrolló en BNB Chain, donde los tokens fueron vendidos rápidamente antes de que se pudieran aplicar controles.
Las consecuencias fueron inmediatas. El precio de SFUND cayó casi un 60 por ciento en menos de un día, bajando brevemente a $0.0537 antes de recuperarse cerca de los $0.25. Alrededor de 64,000 poseedores de tokens en BNB Chain se vieron directamente afectados, ya que sus tenencias perdieron valor o se diluyeron por la repentina entrada de tokens. Aunque algunos de los fondos robados, estimados en $200,000, fueron congelados por HTX, la mayoría permanece sin recuperar.
Seedify sufre una brecha de seguridad de $1.2 millones
Respuesta de emergencia del equipo
Seedify actuó rápidamente una vez que se identificó el exploit. Las operaciones del bridge fueron suspendidas, la actividad de tokens en las chains afectadas fue pausada y los permisos comprometidos fueron revocados. Las billeteras de los atacantes fueron incluidas en listas negras y el trading en exchanges centralizados se detuvo temporalmente para reducir la volatilidad del mercado.
El equipo enfatizó que el exploit solo afectó a una billetera comprometida. Las billeteras de los usuarios, los contratos principales y el protocolo general de Seedify no fueron impactados directamente. Las auditorías de seguridad están siendo revisadas nuevamente, con socios externos contratados para evaluar la infraestructura de la plataforma.
Las investigaciones dirigidas por analistas de blockchain vincularon el ataque a un grupo respaldado por el estado de Corea del Norte. El mismo grupo ha sido relacionado con varios otros exploits web3 de alto perfil, y la velocidad de la operación de Seedify coincidió con tácticas utilizadas en incidentes previos.
Seedify sufre una brecha de seguridad de $1.2 millones
El esfuerzo de recuperación Phoenix Raise
En respuesta al ataque, el fundador de Seedify, Meta Alchemist, anunció una iniciativa de recuperación llamada Phoenix Raise. Este plan está diseñado para compensar a los usuarios que perdieron fondos, fortalecer los sistemas de seguridad de la plataforma y estabilizar la economía de SFUND mediante recompras. El equipo también confirmó que se está preparando una migración completa del token SFUND, aunque no se ha compartido un cronograma.
Seedify señaló que Phoenix Raise también financiará el crecimiento y los esfuerzos de marketing a medida que la plataforma transiciona hacia un modelo de launchpad sin permisos (permissionless). Hasta que se finalicen los detalles de la migración, se ha aconsejado a los usuarios interactuar con SFUND únicamente en BNB Chain.
Seedify sufre una brecha de seguridad de $1.2 millones
El panorama general para la seguridad web3
El exploit de Seedify es un recordatorio de las vulnerabilidades que enfrentan las plataformas web3, particularmente los bridges cross-chain. Incluso los contratos que pasan auditorías permanecen expuestos si las claves privadas son comprometidas. El incidente ha renovado los llamados para que los proyectos adopten salvaguardas más estrictas, como aprobaciones multi-firma y transacciones con retraso temporal para operaciones críticas.
El exploit de Seedify no fue el único problema de seguridad que ocupó los titulares esta semana. Un streamer de Twitch conocido como RastalandTV perdió más de $32,000 en cripto en vivo durante una partida tras descargar un videojuego infectado con malware en Steam. Los fondos robados eran donaciones recaudadas para su tratamiento contra el cáncer, lo que provocó indignación y dio lugar a esfuerzos de recaudación de fondos impulsados por la comunidad. El malware ha sido vinculado desde entonces a más de 260 casos y más de $150,000 en pérdidas totales.
Preguntas frecuentes (FAQ)
¿Qué le pasó a Seedify?
El bridge de SFUND de Seedify fue vulnerado el 23 de septiembre después de que los atacantes obtuvieran acceso a una clave de desarrollador. Se crearon y vendieron tokens no autorizados a través de múltiples chains, lo que resultó en pérdidas superiores a $1.2 millones.
¿Quién hackeó a Seedify?
Seedify atribuyó el exploit a un grupo de hackers vinculado al estado de Corea del Norte, conocido por ataques web3 previos. Los analistas de blockchain respaldaron esta conclusión.
¿Qué es Phoenix Raise?
Phoenix Raise es el plan de recuperación de Seedify destinado a compensar a los usuarios afectados por el exploit, mejorar la seguridad, estabilizar SFUND mediante recompras y financiar el crecimiento futuro de la plataforma.
¿Es seguro seguir usando SFUND?
Seedify ha aconsejado a los usuarios utilizar SFUND únicamente en BNB Chain hasta que se complete la migración del token. Los contratos principales y las billeteras de los usuarios no fueron comprometidos directamente en el ataque.
¿Recuperará Seedify los fondos perdidos?
Alrededor de $200,000 de los activos robados fueron congelados por HTX, pero la mayor parte de los fondos permanece sin recuperar. La iniciativa Phoenix Raise tiene como objetivo cubrir las pérdidas de los usuarios y fortalecer el ecosistema a futuro.
