Tres días de preparación y una hora para vaciar la caja: RHEA Finance fue despojada de 18 millones de dólares
RHEA Finance suspende su protocolo tras el robo de activos de usuarios.
La plataforma cripto RHEA Finance perdió decenas de millones de dólares en cuestión de horas. Un atacante desconocido eludió las defensas y extrajo fondos directamente de las reservas del servicio. El incidente ocurrió el 16 de abril de 2026 y afectó al mecanismo de comercio con margen. El atacante encontró una vulnerabilidad en la protección contra el deslizamiento de precios y sacó activos por aproximadamente 18,4 millones de dólares. Las pérdidas afectaron tanto al propio protocolo como a los usuarios cuyos fondos participaron en las operaciones.
Parte de los fondos ya se recuperaron. Al contrato de préstamo ingresaron alrededor de 3,36 millones de USDC y 1,56 millones de NEAR; además, se congelaron 4,34 millones de USDT, y la mayor parte fue bloqueada por la empresa Tether en la billetera del atacante. El contrato fue detenido temporalmente para preservar los activos restantes y evitar nuevas pérdidas.
Los desarrolladores intentan contactar con el atacante y, paralelamente, han involucrado exchanges centralizados para identificar al propietario de la billetera. La investigación continúa.
La causa del ataque está relacionada con la forma en que el protocolo calculaba las desviaciones de precio permitidas en los intercambios. El algoritmo sumaba los valores mínimos esperados en cada paso, pero no tuvo en cuenta que el mismo token podía reutilizarse en la cadena de operaciones. Como resultado, la protección funcionaba solo en teoría. El atacante construyó una secuencia compleja de intercambios en la que el resultado real fue considerablemente inferior al esperado, y los tokens prestados terminaron en pools bajo su control.
El atacante se preparó durante varios días. Del 13 al 15 de abril creó cientos de cuentas auxiliares y distribuyó fondos entre ellas. Luego desplegó una red de tokens falsos y pools comerciales en la plataforma Ref Finance, fijando artificialmente los precios. A través de esos pools pasaron operaciones de margen que permitieron eludir la protección.
La fase principal del ataque duró algo más de una hora la mañana del 16 de abril. En ese tiempo el atacante abrió numerosas posiciones con fondos prestados, cada una de las cuales inmediatamente se volvía deficitaria. Las liquidaciones masivas vaciaron rápidamente el pool de reservas del protocolo. Después de eso, el atacante retiró la liquidez de los pools falsos y concretó las ganancias.
Para ocultar rastros, el atacante eliminó decenas de cuentas intermedias y transfirió los saldos al monedero principal. Cuando se detectó el problema, el equipo detuvo los contratos vulnerables y comenzó a restaurar el funcionamiento. Las autoridades han sido notificadas y especialistas se sumaron a la investigación para rastrear las transacciones. El equipo promete compensar las pérdidas con reservas y fondos propios, pero aún no revela las condiciones definitivas.