Un solo colisión de hash acaba de eliminar el 96% de MAPO – Esto es lo que sucedió

MAPO se desplomó más del 96% tras un exploit de colisión de hash en Butter Bridge que permitió a un atacante acuñar casi 1 cuatrillón de tokens. MAP Protocol ha suspendido ahora el comercio y planea un nuevo contrato.

El token no se agotó lentamente. MAPO cayó más del 96% en cuestión de horas después de que un atacante encontrara una forma de convencer a Butter Bridge de que ya había procesado una transacción legítima.

La firma de seguridad Blockaid alertó del incidente en X, identificando el objetivo como Butter Bridge V3.1, también conocido como OmniServiceProxy. Según Blockaid en X, el atacante engañó a la puente tanto en Ethereum como en BSC, acuñando aproximadamente 1 cuatrillón de tokens MAPO directamente a una billetera nueva. La oferta circulante legítima era de alrededor de 208 millones. Solo esa matemática explica la mayor parte de la acción del precio.

El error que nadie detectó hasta que fue demasiado tarde

La causa raíz no fue una filtración de claves. No fue un problema con el propio contrato de MAPO. Según el desglose técnico de Blockaid en X, la puente autenticaba reintentos de mensajes entre cadenas usando keccak256(abi.encodePacked(…)) en cuatro campos dinámicos consecutivos. El problema: abi.encodePacked no añade prefijos de longitud. Las diferentes asignaciones de campos pueden producir la misma cadena de bytes, y por lo tanto, el mismo hash.

El atacante colocó un mensaje MAP-a-ETH firmado por un oráculo que apuntaba a una dirección precomputada. Aún no existía ningún contrato allí. La puente almacenó un reintento de “NotContract”. Luego, el contrato explotado se desplegó en esa misma dirección.

Lo que siguió fue una secuencia de tres pasos. Según Blockaid en X, el atacante llamó a retryMessageIn usando límites de campo reorganizados que empaquetaron en la misma cadena de 601 bytes. Mismo hash, misma validación. La puente acuñó 10^15 MAPO directamente a la billetera del atacante.

Los exploits de puentes entre cadenas que acuñan tokens no autorizados se han convertido en un patrón recurrente en la infraestructura DeFi este año.

52 ETH desaparecidos. Casi un cuatrillón de tokens aún allí

El atacante actuó rápidamente. Blockaid confirmó en X que 52.21 ETH, aproximadamente 180,000 dólares, fueron drenados del pool ETH/MAPO de Uniswap V4 después de que se vertieron alrededor de 1 mil millones de MAPO en él. Esa cifra suena grande. También es menos del 0.001% de lo que poseía el atacante.

Aproximadamente 999.999 mil millones de MAPO permanecían en la billetera del atacante en el momento del reporte, según Blockaid. La transacción del exploit es visible en Etherscan en 0x31e56b4737649e0acdb0ebb4eca44d16aeca25f60c022cbde85f092bde27664a. La dirección del atacante es 0x40592025392BD7d7463711c6E82Ed34241B64279 y el contrato del exploit se encuentra en 0x2475396A308861559EF30dc46aad6136367a1C30.

MAP Protocol confirmó su conocimiento en X el mismo día. MAP Protocol dijo en X que el equipo estaba al tanto y coordinando con socios de seguridad externos en la investigación y contención. La puente entre MAPO ERC-20 y MAPO en la mainnet fue pausada.

MAP Protocol toma medidas para invalidar las tenencias del atacante

Al día siguiente, la respuesta pasó de la contención a una revisión estructural. MAP Protocol anunció en X la suspensión de todos los servicios de conversión entre tokens MAPO en la dirección del contrato ERC20 original 0x66d79b8f60ec93bfce0b56f5ac14a2714e509a99 en ambas redes, BSC y Ethereum, y MAPO en la mainnet de MAP Protocol.

Todas las plataformas relevantes fueron notificadas para desactivar depósitos y retiros de estos tokens, indicó el equipo. Se advirtió a los usuarios que eviten comerciar con MAPO asociado al contrato original en plataformas descentralizadas, incluyendo Uniswap y PancakeSwap.

Se publicará una nueva dirección de contrato. Se tomará una instantánea en una fecha que el proyecto considere adecuada. Cualquier token aún en posesión de direcciones controladas por el atacante, que en este momento suman en cientos de miles de millones, será completamente excluido de cualquier conversión o futura instantánea.

MAP Protocol también mencionó en X, en una respuesta reconociendo el seguimiento de PeckShield del incidente, que el equipo había estado coordinando con intercambios y socios desde la brecha. Se estaba preparando una declaración oficial sobre los próximos pasos, detalles de la instantánea y el nuevo contrato.

Las fallas en los puentes han impulsado una proporción desproporcionada de pérdidas en criptomonedas en 2026, con atacantes apuntando constantemente a las intersecciones donde la automatización y la confianza se superponen.

Se ha aconsejado a los usuarios por parte del proyecto que solo confíen en canales oficiales. La guía no oficial, advirtió el equipo, debe ser completamente ignorada.