El protocolo DeFi Ekubo sufrió una pérdida de aproximadamente $1,4 millones en wrapped bitcoin (WBTC) luego de que atacantes explotaran una vulnerabilidad en sus contratos de swap router sobre redes EVM. El incidente, detectado el 5 de mayo, vuelve a poner el foco sobre los riesgos asociados a las aprobaciones de tokens dentro de arquitecturas DeFi modulares, en un año marcado por una escalada de ataques contra protocolos descentralizados.
La plataforma confirmó que el exploit afectó exclusivamente sus contratos EVM, mientras que su despliegue principal en Starknet y los proveedores de liquidez centrales no resultaron comprometidos. Aun así, el caso amplía una tendencia preocupante: las pérdidas acumuladas en el ecosistema DeFi durante 2026 ya superan los $770 millones, impulsadas por una sucesión de hackeos y fallas de seguridad a gran escala.
TE PUEDE INTERESAR: Kelp DAO sufre ataque de $292 millones en rsETH tras exploit en puente LayerZero
Qué ocurrió con Ekubo y cómo se ejecutó el ataque
De acuerdo con el análisis publicado por la firma de ciberseguridad blockchain Blockaid, el exploit se originó en una falla de control de acceso dentro de los contratos de extensión v2 EVM de Ekubo.
El problema estaba relacionado con el sistema de “payment callback”, un mecanismo que permitía a los contratos aceptar parámetros como el pagador, el token y el monto directamente desde datos controlados por el atacante. La vulnerabilidad residía en que el contrato no verificaba correctamente si el usuario había autorizado realmente la transacción antes de procesarla.
En términos prácticos, esto permitió a los atacantes utilizar aprobaciones de tokens previamente concedidas por usuarios al router afectado para mover fondos sin consentimiento adicional.
La operación se ejecutó mediante aproximadamente 85 transacciones rápidas, una metodología común en ataques automatizados diseñados para vaciar fondos antes de que los sistemas de monitoreo o los equipos de respuesta puedan intervenir.
Los datos on-chain identificados por servicios de monitoreo, entre ellos Cyvers, muestran que la principal víctima perdió alrededor de 17 WBTC. Posteriormente, los fondos robados fueron convertidos a WETH y DAI, dificultando parcialmente el rastreo inmediato de los activos.
Ekubo asegura que la liquidez principal y Starknet no fueron afectados
Tras detectar el incidente, Ekubo emitió una alerta pública en X indicando que existía un “incidente de seguridad activo” limitado únicamente a sus contratos swap router en cadenas EVM.
La compañía insistió en que:
- Los proveedores de liquidez no fueron afectados.
- La infraestructura principal desplegada sobre Starknet permaneció intacta.
- El exploit no comprometió el núcleo del protocolo AMM.
El proyecto, conocido por su modelo de liquidez concentrada y su arquitectura singleton modular, había expandido recientemente sus operaciones más allá de Starknet hacia ecosistemas compatibles con Ethereum y Arbitrum.
La confirmación de que Starknet no sufrió daños fue respaldada por desarrolladores vinculados a la red Layer 2, quienes señalaron que el problema estaba aislado a la capa de integración EVM.
El verdadero problema: las aprobaciones permanentes en DeFi
El exploit de Ekubo vuelve a exponer uno de los riesgos más persistentes dentro de las finanzas descentralizadas: las aprobaciones ilimitadas o de larga duración que los usuarios conceden a contratos inteligentes.
En numerosos protocolos DeFi, los usuarios autorizan previamente a contratos para mover tokens en su nombre con el objetivo de evitar firmar cada operación manualmente. Aunque esto mejora la experiencia de uso, también crea un vector de ataque crítico cuando existe una vulnerabilidad en el contrato autorizado.
En el caso de Ekubo, los atacantes no necesitaron comprometer directamente las wallets de las víctimas. En cambio, aprovecharon permisos ya existentes para extraer fondos desde cuentas que anteriormente habían interactuado con el router vulnerable.
Por esta razón, el equipo recomendó de inmediato a todos los usuarios revocar permisos pendientes mediante plataformas especializadas como revoke.cash.
Este tipo de exploits basados en aprobaciones no son nuevos, pero durante 2026 han reaparecido con fuerza debido al aumento de arquitecturas DeFi modulares y sistemas de extensiones complejas, donde pequeños errores de validación pueden derivar en pérdidas multimillonarias.
TE PUEDE INTERESAR: Litecoin revierte tres horas de su historia tras un exploit crítico en su capa de privacidad MWEB
La inmutabilidad de los contratos complica la respuesta
Uno de los factores más delicados del incidente es que los contratos EVM afectados de Ekubo son inmutables por diseño.
En el ecosistema blockchain, la inmutabilidad es generalmente considerada una característica positiva porque impide alteraciones arbitrarias del código una vez desplegado. Sin embargo, cuando aparece una vulnerabilidad crítica, esa misma característica limita enormemente la capacidad de reacción.
Según explicó el protocolo, la única solución viable pasa por desplegar una nueva versión corregida del router afectado. Esto implica migraciones técnicas y nuevas aprobaciones por parte de los usuarios.
Hasta el momento de la publicación original del incidente, no se habían reportado pérdidas adicionales, lo que sugiere que la rápida comunicación pública ayudó a contener parcialmente el alcance del exploit.
2026 se consolida como uno de los peores años para la seguridad DeFi
El caso de Ekubo no ocurre de manera aislada. El ecosistema DeFi atraviesa uno de sus períodos más complejos en términos de ciberseguridad y protección de fondos.
Antes del incidente de Ekubo, las pérdidas acumuladas del sector ya superaban los $750 millones en 2026. Solo durante abril, cerca de $620 millones fueron drenados a través de aproximadamente 30 exploits distintos, convirtiendo al mes en uno de los más agresivos registrados por número de incidentes.
Entre los ataques más relevantes destacan:
- El exploit contra Drift Protocol, con pérdidas cercanas a $280 millones.
- La vulnerabilidad en Kelp DAO, que derivó en un robo aproximado de $292 millones.
- El compromiso de claves administrativas en Wasabi Protocol, con pérdidas de $4,5 millones.
- La brecha de seguridad en Volo Protocol, que afectó bóvedas del protocolo por unos $3,5 millones.
Aunque los grandes hackeos concentran la atención mediática, la acumulación constante de ataques medianos y pequeños ha mantenido una presión sostenida sobre la confianza de los usuarios en el sector.
Por qué el exploit de Ekubo es especialmente relevante para DeFi
El incidente de Ekubo destaca por varios motivos técnicos y estructurales que reflejan desafíos más profundos dentro de las finanzas descentralizadas.
1. Expone riesgos de arquitecturas modulares
La industria DeFi ha avanzado hacia modelos más flexibles y componibles, donde protocolos integran extensiones, routers y módulos independientes para mejorar funcionalidades.
Sin embargo, cada nueva capa añade superficie de ataque. En el caso de Ekubo, la vulnerabilidad no afectó el núcleo AMM sino un componente auxiliar relacionado con swaps EVM.
Esto evidencia cómo incluso protocolos técnicamente sofisticados pueden verse comprometidos por errores periféricos.
2. Las aprobaciones siguen siendo un punto crítico
La práctica de otorgar permisos amplios a contratos continúa siendo uno de los mayores riesgos para usuarios minoristas y profesionales.
Muchos inversores desconocen que esas autorizaciones permanecen activas indefinidamente incluso después de dejar de utilizar una aplicación.
Cuando un contrato vulnerable conserva permisos abiertos, los fondos quedan potencialmente expuestos.
3. La expansión multichain aumenta la complejidad
Ekubo nació originalmente sobre Starknet, pero su expansión hacia Ethereum y Arbitrum introdujo nuevas capas operativas y técnicas.
Cada integración adicional implica diferencias de seguridad, auditoría y gestión de contratos, algo que se ha convertido en un desafío recurrente para protocolos multichain durante los últimos años.
TE PUEDE INTERESAR: Volo Protocol sufre exploit por $3.5 millones y promete cubrir pérdidas a usuarios
Qué puede pasar ahora con Ekubo y el ecosistema
En el corto plazo, la prioridad para Ekubo será reconstruir la confianza de los usuarios y desplegar una infraestructura corregida para sus operaciones EVM.
La rapidez de la respuesta pública probablemente ayudó a limitar daños mayores, pero el incidente podría afectar temporalmente la actividad del protocolo mientras los usuarios revocan permisos y esperan nuevas implementaciones.
A nivel sectorial, el exploit probablemente reactivará debates sobre:
- Mejores estándares de validación para routers y callbacks.
- Sistemas de aprobaciones más seguros o limitados.
- Herramientas automáticas de revocación de permisos.
- Auditorías enfocadas específicamente en arquitecturas modulares.
El episodio también refuerza una realidad cada vez más evidente dentro del mercado cripto: aunque la infraestructura DeFi continúa evolucionando rápidamente, la seguridad operacional sigue siendo uno de los principales obstáculos para la adopción masiva.
Mientras el sector busca equilibrar innovación, interoperabilidad y experiencia de usuario, ataques como el de Ekubo demuestran que incluso pequeños errores de validación pueden traducirse en pérdidas millonarias en cuestión de minutos.
