3,44 millones de dólares en 19 minutos: nuevo precio de un error — Typus Finance desconecta su protocolo tras una explotación relámpago de un hacker
Un error de código provocó pérdidas millonarias en Typus Finance.
En la plataforma Typus Finance se produjo un ataque importante, en el que los atacantes retiraron activos por un valor de aproximadamente 3,44 millones de dólares. El incidente afectó al pool de liquidez TLP y fue consecuencia de una vulnerabilidad en el módulo del oráculo, que permitió al atacante manipular los datos de precios. La empresa publicó un informe detallado con la descripción paso a paso de los hechos y anunció la suspensión completa de todos los contratos inteligentes hasta que se complete la investigación.
El ataque comenzó el 15 de octubre a las 13:05 UTC. En los 19 minutos siguientes a los primeros indicios de actividad sospechosa, el equipo de Typus pausó el protocolo, identificó la fuente del problema y notificó a Sui Foundation. A las 14:54 se envió un comunicado oficial a las autoridades. Según el informe, del TLP se retiraron 588 357,9 SUI, 1 604 034,7 USDC, 0,6 xBTC y 32,227 suiETH. Al mismo tiempo, los fondos de los usuarios en carteras personales, así como los activos del fondo SAFU y de DeFi Options Vaults, permanecieron intactos.
La causa de la filtración fue un operador de verificación omitido en la función update_v2 del módulo del oráculo, incluido en el paquete de contratos del 13 de noviembre de 2024. El error permitió a cualquier dirección actualizar los datos de precios, eludiendo el mecanismo de autorización. El problema se vio agravado por dos factores organizativos: el módulo no estuvo incluido en la lista de componentes revisados durante la auditoría de MoveBit realizada en mayo de 2025, y el sistema de monitorización de Sentio no estaba configurado para reaccionar de inmediato ante este tipo de eventos.
Los desarrolladores subrayaron que las pérdidas se limitaron a TLP y no afectaron a otros productos. Los «crankers» automáticos que gestionan operaciones en DeFi Options Vaults comparan las cotizaciones con un oráculo independiente antes de ejecutar, lo que permitió bloquear los intentos de manipulación de precios. Además, la garantía de las posiciones abiertas se guarda en contratos separados y no depende de TLP, por lo que está a salvo.
Inmediatamente después del ataque, Typus Finance congeló todas las operaciones e involucró a socios de seguridad — Sui Foundation, Mysten Labs, MoveBit, SlowMist y Hypernative — para investigar conjuntamente y rastrear las retiradas de fondos. El equipo está preparando contratos inteligentes completamente revisados y auditados, y también está discutiendo un plan interno de compensación para los proveedores de liquidez. Una declaración separada sobre el mecanismo de reembolso se publicará más adelante.
Los representantes del proyecto indicaron que Typus Finance pretende aumentar el nivel de protección y seguirá informando a la comunidad sobre el progreso de la investigación y las medidas de recuperación.