Hackeado: Un millón de dólares desaparece del protocolo de stablecoin del Departamento de Policía de Nueva York

La seguridad institucional en cripto recibe otro golpe contundente. Un atacante explotó una vulnerabilidad en el sistema de stablecoins del NYPD, desviando fondos por valor de un millón de dólares directamente de las arcas policiales.

El agujero en la bóveda digital

Los detalles técnicos apuntan a un fallo en la lógica del contrato inteligente o en los controles de acceso. El exploit no requirió fuerza bruta, sino un conocimiento preciso de la arquitectura interna del protocolo. Los fondos, una vez extraídos, comenzaron un rápido proceso de lavado a través de mezcladores y puentes cross-chain, una coreografía de evasión ahora demasiado familiar.

La ironía institucional

El incidente coloca a un departamento dedicado a la aplicación de la ley en el papel de víctima, exponiendo la cruda realidad: en la cadena de bloques, el código es la ley, y si está defectuoso, ni los policías están a salvo. Un recordatorio aleccionador para cualquier entidad gubernamental que corra hacia la innovación financiera sin una auditoría de seguridad igualmente innovadora.

El coste real de la 'confianza' digital

Más allá de la pérdida financiera, el hack erosiona la narrativa de que las soluciones institucionales en Web3 son inherentemente más robustas. Demuestra que los protocolos, ya sean gestionados por startups o por comisarías, solo son tan fuertes como su eslabón más débil. Un millón de dólares es una gota en el océano de las finanzas tradicionales, pero en cripto, es el precio de una lección de humildad repetidamente ignorada. Quizás la próxima partida presupuestaria del NYPD debería incluir una partida para auditores de smart contracts, no solo para munición.

Un hacker del USPD aprovechó los proxies para engañar al protocolo y lograr que se acuñaran 

El DeFi mencionó que la brecha explotó un vector de ataque complejo denominado "CPIMP", abreviatura de "Clandestine Proxy In the Middle of Proxy". El Departamento de Policía de los Estados Unidos (USPD) explicó que el atacante se adelantó a la inicialización del proxy el 16 de septiembre durante la implementación mediante una transacción Multicall3

2/ Esto no fue una falla en la lógica de nuestrotracinteligente.

El protocolo USPD se sometió a rigurosas auditorías de seguridad por parte de firmas de primer nivel como @NethermindEth y Resonance. Nuestro código se somete a pruebas unitarias completas y cumple con los estrictos estándares de la industria. La lógica en sí misma se mantiene segura.

— USPD.IO | El dólar de la nación descentralizada (@USPD_io) 4 de diciembre de 2025

El hacker usó CPIMP para apoderarse de los derechos administrativos silenciosamente antes de que los scripts del protocolo se ejecutaran por completo, esperando meses para empezar a acuñar monedas sin autorización. Implementaron untrac"sombra" que reenviaba llamadas al código auditado del USPD y, sutilmente, manipularon la carga útil de eventos y falsificaron la ranura de almacenamiento para engañar a Etherscan y que mostrara eltracauditado original. 

Este camuflaje permitió al atacante ocultarse a plena vista durante meses, eludiendo las herramientas de verificación y las comprobaciones manuales. Hoy, utilizaron su acceso oculto para actualizar el proxy, generar aproximadamente 98 millones de USPD y extraer aproximadamente 232 stETH, escribió el USPD.

El analista de blockchain Emmet Gallic reiteró el análisis del protocolo DeFi y agregó que una inicialización de proxy provocó el ataque durante la implementación. 

El atacante se atribuyó derechos de administrador e instaló una implementación oculta que falsificó a Etherscan para que mostrara eltracauditado. El protocolo estuvo hackeado durante meses, conjeturó.

El Departamento de Policía de los Estados Unidos (USPD) continuará con las investigaciones y promete recompensa al pirata informático.

En respuesta al ataque, el Departamento de Policía de los Estados Unidos (USPD) declaró que está trabajando estrechamente con las fuerzas del orden y grupos de seguridad de sombrero blanco para tracy congelar los fondos robados. "Hemos marcado las direcciones del atacante con todos los principales CEX y DEX para congelar el flujo de fondos", reveló el equipo.

El protocolo también declaró su disposición a resolver la situación con el atacante si se devolvían los fondos menos una recompensa estándar del 10% por errores. El protocolo prometió cesar todas las acciones legales si aceptaban la oferta y animó al atacante a contactarlos directamente o a devolver el 90% de los activos robados para resolver el asunto.

Estamos devastados porque, a pesar de las rigurosas auditorías y el cumplimiento de las mejores prácticas, fuimos víctimas de este vector de ataque emergente y altamente complejo. Estamos haciendo todo lo posible para recuperar los activos, informó el Departamento de Policía de los Estados Unidos (USPD) a su comunidad.

Según CoinMarketCap, la vinculación de la stablecoin con el dólar no se ha visto afectada hasta ahora, pero su volumen ha caído un 20% en las últimas 24 horas a alrededor de $ 2,56 millones.

Las violaciones del protocolo de monedas estables DeFi alguna vez fueron mucho más grandes que las que enfrentó USPD, incluido un hackeo de Euler Finance en 2023 que provocó más de $ 197 millones en pérdidas después de que las monedas estables se drenaran de sus fondos de préstamos. 

Dos protocolos DeFi en modo de recuperación tras los ataques de noviembre

El lunes pasado, Yearn Finance se convirtió en el último protocolo en sufrir una vulnerabilidad de seguridad en su token de staking líquido yETH. El atacante acuñó una cantidad prácticamente ilimitada de tokens y robó cerca de 3 millones de dólares en ETH. 

Yearn Finance había sufrido previamente una vulnerabilidad de $9 millones en su pool de intercambio estable de yETH el 30 de noviembre, pero como informó el miércoles, ya ha comenzado a recuperar los fondos robados. Hasta el momento, el equipo ha recuperado con éxito $2.39 millones, que serán devueltos a los depositantes afectados.

Balancer, otro protocolo DeFi que perdió 128 millones de dólares a través de una violación de v2, anunció planes para reembolsar aproximadamente 8 millones de dólares a los proveedores de liquidez la semana pasada.

Obtén hasta $30,050 en recompensas comerciales cuando te unas a Bybit hoy