Por 3º vez en 2021, hackean a Cream Finance: 130 millones de dólares robados

Desde que inició la fiebre de las denominadas “Finanzas Descentralizadas”, la lista de ciberataques contra este tipo de proyectos no ha parado de aumentar. Esta vez, la víctima es el protocolo de préstamos DeFi, Cream Finance, el cual este 27 de octubre y por tercera vez en el año sufrió un ciberataque del que se reportan pérdidas por más de 130 millones de dólares, convirtiéndose en el tercer hackeo más grande sufrido por una plataforma DeFi hasta ahora.

La empresa de análisis de datos y seguridad blockchain PeckShield Inc. fue la primera en identificar el ciberataque, publicando a través de su cuenta en la red social Twitter una alerta, debido a una gran transacción de préstamos flash que se estaba realizando en ese momento. Se presume que esa fue la modalidad con la cual la entidad atacante sustrajo los fondos.

La empresa escribió: “Flash Loan Alert” o “Alerta de Préstamo Flash” en español y compartió un enlace del explorador Etherscan, donde se detalla la transacción. En ella se puede observar que al menos 69 activos diferentes se vieron comprometidos, entre cuales principalmente se encuentran tokens de liquidez de Cream y otros tokens ERC-20 de Ethereum. Además de ello, se puede visualizar que la transacción costó más de 9 ETH en gas, equivalente a unos 36.000 USD en comisiones.

Luego de ello, PeckShield compartió un informe corto a través de un hilo de Twitter donde brindó más detalles acerca del ciberataque. En este especificó que los fondos extraídos hasta el momento rondaban los 117 millones de dólares. PeckShield añadió que el ataque fue posible “debido a un error de manipulación de precios en el oráculo de precios de CREAM”. Dicho error “permite que los tokens yDAI + yUSDC + yUSDT + yTUSD transferidos directamente aumenten significativamente el precio por acción de yUSD, lo que hace posible básicamente tomar prestados todos los fondos en los grupos de préstamos actuales”, compartió la firma de análisis.

Articulosde interes

Radar Económico: Divisas y Commodities Hoy

7 de enero de 2026

562

Morgan Stanley solicita lanzar un fondo de Ethereum con staking

7 de enero de 2026

569

PeckShield puntualizó que “los fondos iniciales para lanzar el ciberataque fueron retirados de Tornado Cash” (el protocolo DeFi que permite realizar transacciones privadas en la blockchain Ethereum) y luego las ganancias resultantes fueron transferidas a una dirección de monedero presuntamente propiedad de la entidad atacante.

PeckShield indicó que, al momento de publicar dicha información, el ciberatacante aún se encontraba realizando intercambios a través de las plataformas DeFi de intercambio de criptomonedas ParaSwap y Uniswap. La firma de análisis recalcó que se encontraban monitoreando activamente la dirección involucrada para detectar cualquier movimiento adicional.

Cream Finance confirmó el ciberataque

Por su parte, el equipo detrás del protocolo DeFi Cream Finance reconoció el ciberataque a través de su cuenta en la red social Twitter, publicando lo siguiente:

“Estamos investigando un exploit en CREAM v1 en Ethereum y compartiremos actualizaciones tan pronto como estén disponibles”

Después de varias horas, Cream Finance publicó un hilo en Twitter para informar que la entidad atacante “eliminó la liquidez” de su mercado de préstamos Ethereum CREAM v1, llevándose un total aproximado de 130 millones de dólares en tokens; además, Cream Finance compartió la dirección involucrada, que coincidió con la compartida en el informe de PeckShield citado anteriormente. Desde Cream Finance aseguraron que “ningún otro mercado se vio afectado”.

Asimismo, desde Cream Finance expresaron que con la ayuda de los ingenieros del protocolo DeFi Yearn Finance y otras personas de la comunidad pudieron “identificar las vulnerabilidades y corregirlas”, e indicaron que actualmente se encuentran “detenidos los mercados de préstamos v1 en Ethereum” y están “en el proceso de preparar una revisión post-mortem”.

El tercer hackeo más grande contra un protocolo DeFi

De acuerdo con la tabla de clasificación de Rekt (no actualizada aún), este ciberataque se convierte en el tercero más grande de la historia de las plataformas DeFi, ubicándose luego del ciberataque de Poly Network (611 millones de dólares) y Compound (147 millones de dólares). Cabe destacar que en el caso de Poly Network todos los fondos fueron devueltos luego por el ciberatacante.

Además, este sería el tercer ciberataque sufrido por Cream Finance durante el presente año: el primero se produjo en febrero, donde la plataforma perdió aproximadamente 37,5 millones de dólares; luego, el pasado mes de agosto, otra entidad atacante aprovechó una vulnerabilidad en el contrato inteligente del token AMP y sustrajo fondos por un total aproximado de 27 millones de dólares, utilizando también la modalidad de préstamos flash como sucedió en el ciberataque del día de hoy.

Descargo de responsabilidad: Toda la información encontrada en Bitfinanzas es dada con la mejor intención, esta no representa ninguna recomendación de inversión y es solo para fines informativos. Recuerda hacer siempre tu propia investigación.