Un atacante infló el colateral de wGOOGLx a 78 veces su valor real mediante una manipulación de oráculo vía flash-loan, drenando 403.000 $ de las reservas de préstamos de Edel Finance el 1 de julio.
"El atacante desplegó nuevos contratos de explotación y utilizó un flash loan para distorsionar el tipo de cambio entre wGOOGLx y GOOGLx, provocando que el colateral envuelto se valorara aproximadamente 78 veces su precio correcto", afirmó Blockaid, la firma de seguridad blockchain que detectó el exploit en tiempo real.
La manipulación apuntó a las reservas de préstamos xStock de Edel en Ethereum. Los oráculos de Chainlink reportaron correctamente el precio de la acción de Alphabet en aproximadamente 357 $ — el fallo residía en el mecanismo de envoltura que convierte GOOGLx a su forma envuelta wGOOGLx, no en la fuente de precios en sí. El atacante tomó prestados activos reales contra el colateral fantasma y luego transfirió los fondos robados a través de Tornado Cash, según registros de Etherscan.
Edel detuvo todos los contratos V1, absorbió la deuda incobrable y prometió una restauración 1:1 para los depositantes. El equipo está desplegando V2 con una arquitectura de oráculo rediseñada y ha ofrecido al atacante un acuerdo de whitehat. El incidente resalta los riesgos persistentes en los activos tokenizados del mundo real, donde los pasos de envoltura y conversión añaden superficies de ataque más allá de la manipulación estándar de oráculos.
El valor total bloqueado en Edel Finance se desplomó de aproximadamente 630.000 $ a unos 947 $ después del exploit, según datos de DefiLlama, mientras los usuarios se apresuraban a retirar fondos. El protocolo registró una salida neta estimada de 630.000 $, la mayor registrada.
El exploit se suma a un brutal primer semestre de 2026 para la seguridad DeFi. Las pérdidas acumuladas en el sector han superado los 1.100 millones de dólares, y la manipulación de oráculos y tipos de cambio se encuentra entre los vectores de ataque más comunes, según CertiK. Solo en abril se produjeron entre 28 y 30 incidentes de hackeo independientes por un total de más de 625 millones de dólares.
Este artículo es solo para fines informativos y no constituye asesoramiento de inversión.