Ataque por error crítico en verificador Groth16
El protocolo descentralizado Foom Cash, basado en pruebas de conocimiento cero, sufrió un exploit por USD 2,26 millones debido a un fallo en la configuración del verificador Groth16 durante el proceso “trusted setup”.
El error técnico se originó por omitir un paso CLI en la fase 2 del setup, dejando parámetros criptográficos (γ y δ) sin aleatorizar correctamente. Esto permitió que el atacante enviara pruebas falsificadas que el sistema aceptó como válidas.
Intervención del white hat
Un hacker ético conocido como Duha identificó la vulnerabilidad y logró asegurar fondos en la red Base antes de que fueran completamente drenados.
En paralelo, la firma de ciberseguridad Decurity colaboró en la recuperación en la red Ethereum.
Resultado final:
- Fondos robados: USD 2,26M
- Fondos recuperados: USD 1,84M (81%)
- Recompensa white hat: USD 320.000
- Fee de seguridad para Decurity: USD 100.000
Seguridad DeFi y rol creciente de hackers éticos
El caso refleja una tendencia creciente en DeFi: intervenciones rápidas de white hats antes de que los fondos sean puenteados o mezclados en herramientas de privacidad.
Tras incidentes relevantes como el hack de WazirX en 2024, iniciativas como Security Alliance (SEAL) han profesionalizado la respuesta a exploits en Web3.
Conclusión
Aunque el exploit expuso un fallo crítico de despliegue, la rápida acción del white hat evitó pérdidas mayores y permitió recuperar la mayoría de los fondos. El episodio subraya que, en DeFi, la seguridad no solo depende del código, sino también de auditorías rigurosas y procesos de despliegue correctamente ejecutados.
