El token MAPO de Map Protocol se desploma un 96% tras un exploit que permite acuñar un cuatrillón de tokens; el puente TON-TAC detalla pérdidas por 2,68 millones de dólares

Dos ataques consecutivos a puentes cross-chain exponen vulnerabilidades críticas en contratos inteligentes y software de secuenciador, desencadenando acuñaciones no autorizadas masivas en Map Protocol y TON-TAC.

El token nativo de Map Protocol, MAPO, sufrió una caída del 96% el miércoles después de que un atacante explotara el puente cross-chain Butter Network para acuñar un cuatrillón de tokens, una cantidad muy superior al suministro legítimo del proyecto. El valor de MAPO se desplomó desde aproximadamente 0,003 dólares hasta 0,0001 dólares en cuestión de horas, según datos de CoinGecko.

En paralelo, el puente TON-TAC publicó un post-mortem detallando un exploit de 2,68 millones de dólares ocurrido el 11 de mayo, sumándose a una oleada de al menos 18 protocolos DeFi comprometidos en el último mes.

## El exploit de Map Protocol y Butter Network

### Detalles del ataque: Acuñación masiva y drenaje de liquidez

El atacante utilizó una nueva cuenta de propiedad externa (EOA) para ejecutar la acuñación masiva de tokens MAPO. Posteriormente, deshizo aproximadamente mil millones de tokens en Uniswap y drenó unos 52 ETH, equivalentes a unos 180.000 dólares, de los pools de liquidez del exchange descentralizado.

Según la firma de seguridad Blockaid, el atacante retiene actualmente cerca de un billón de tokens, lo que sigue amenazando a otros pools de liquidez y a potenciales listados en exchanges. La empresa detectó y analizó el exploit en tiempo real, alertando a la comunidad sobre el riesgo continuo.

### Mecanismo del exploit: la vulnerabilidad «retry»

Blockaid explicó que el ataque no involucró el robo de claves privadas ni el compromiso de clientes ligeros (light clients). En cambio, el atacante explotó una vulnerabilidad en la capa de contrato en Solidity.

El proceso consistió en tres pasos: primero, el atacante envió un mensaje legítimo firmado por un oráculo multisig. Luego, implementó un contrato malicioso en una dirección específica. Finalmente, reenvió un mensaje «retry» modificado, cuyo hash era idéntico al original pero falso en contenido. El puente cross-chain verificó el mensaje como válido y ejecutó la acuñación masiva.

«Fue una vulnerabilidad clásica de Solidity que involucra múltiples campos dinámicos», explicó Blockaid en su análisis.

### Reacción y medidas de mitigación de Map Protocol

Map Protocol ha pausado su mainnet y ha iniciado un proceso de migración mientras continúa la investigación. Por su parte, Butter Network, el puente afectado, ha pausado ButterSwap, aunque aseguró que los fondos de los usuarios no estaban en riesgo.

El proyecto anunció que revelará una nueva dirección de contrato y seleccionará un momento adecuado para realizar una instantánea (snapshot) de activos. En un comunicado oficial, Map Protocol declaró: «Cualquier token restante en manos de direcciones controladas por el atacante será completamente invalidado y no se incluirá en ninguna instantánea o proceso de conversión futura».

## Contexto: Oleada de exploits en puentes cross-chain

Este exploit se suma a una tendencia preocupante en la que al menos 18 protocolos DeFi y blockchain han sido comprometidos en el último mes. Entre los ejemplos más destacados se encuentran THORChain, el puente Ethereum de Verus Protocol, Transit Finance, TrustedVolumes, Ekubo, Echo Protocol y RetoSwap.

Los ataques a puentes cross-chain se han convertido en uno de los vectores de ataque más críticos en el ecosistema DeFi, ya que estas infraestructuras manejan grandes volúmenes de activos bloqueados y presentan superficies de ataque complejas debido a la interacción entre diferentes blockchains.

## El exploit de TON-TAC: Post-mortem de 2,68 millones de dólares

### Detalles del incidente

TON-TAC, un puente de activos cross-chain diseñado como una extensión de red para The Open Network (TON), emitió un post-mortem el jueves, un día después del exploit de MAPO, detallando las circunstancias de su propio incidente de seguridad.

El exploit ocurrió el 11 de mayo y resultó en una pérdida de 2,68 millones de dólares. El equipo de TON-TAC identificó que el «incidente de seguridad» se originó por una falta de validación en el software secuenciador, un componente crítico que coordina las transacciones entre cadenas.

### Causa raíz y recuperación

Según el post-mortem, el secuenciador aceptó una billetera falsa en TON que carecía de las verificaciones adecuadas de código hash (code-hash) y minter checks. Esto condujo a otra acuñación de tokens no autorizada, similar en naturaleza al ataque sufrido por Map Protocol.

No obstante, el informe incluye un dato positivo: los esfuerzos de recuperación lograron asegurar aproximadamente el 80% de los activos afectados. El puente permanece pausado a la espera de una auditoría independiente del secuenciador parcheado y la restauración de la liquidez.

### Vínculo con la tendencia actual de ataques

Este exploit se produce en la misma ola de ataques a puentes que incluye al puente Verus-Ethereum, Echo Bridge y el propio puente de Butter Network que afectó a MAPO. La coincidencia temporal sugiere que los atacantes están explotando vulnerabilidades similares en distintos proyectos de infraestructura cross-chain.

## ¿Qué es Map Protocol?

Map Protocol es una red omnicanal (omnichain network) diseñada para intercambiar Bitcoin, stablecoins y activos tokenizados entre diferentes blockchains. Su función principal es conectar la red principal de Bitcoin con ecosistemas como Ethereum, BNB Chain, Tron y Solana, permitiendo la interoperabilidad entre estas redes.

El proyecto había ganado tracción en el ecosistema DeFi por ofrecer una solución de puente descentralizado, pero el exploit ha puesto en entredicho la seguridad de su infraestructura.

## Conclusión y perspectivas

Los exploits en puentes cross-chain siguen siendo un vector de ataque crítico en DeFi. Las vulnerabilidades en contratos Solidity y en el software de secuenciadores representan riesgos sistémicos que afectan tanto a proyectos consolidados como a emergentes.

Ambos equipos han mostrado respuestas diferentes: Map Protocol ha optado por la migración e invalidación de tokens, mientras que TON-TAC ha priorizado la recuperación parcial de activos y la auditoría de su software. La comunidad DeFi permanece en alerta ante la posibilidad de nuevos ataques, especialmente mientras los desarrolladores trabajan en parchear las vulnerabilidades identificadas.

Los inversores y usuarios de protocolos cross-chain deben mantenerse informados sobre el estado de estos proyectos y evaluar cuidadosamente los riesgos de seguridad antes de depositar fondos en puentes blockchain.