Saltar al contenido principal

Secuestro del dominio Bonk.fun: Los ataques de front-end son el vector de amenaza de mayor crecimiento en el mundo cripto

· 11 min de lectura
Dora Noda
Dora Noda
Software Engineer

El 12 de marzo de 2026, un launchpad de Solana impulsado por la comunidad que procesaba cientos de miles de dólares en tarifas diarias se convirtió brevemente en una trampa para drenar billeteras — y los contratos inteligentes que lo impulsaban nunca fueron tocados. Bonk.fun, la plataforma de memecoins con la marca letsBONK respaldada por Raydium y el BONK DAO, sufrió el secuestro de su dominio, se inyectó una solicitud de firma falsa de "Términos de servicio" en su front-end y aproximadamente 35 billeteras fueron vaciadas antes de que el equipo detectara el compromiso. Los atacantes no necesitaron una vulnerabilidad de día cero. Solo necesitaron un nombre de host.

Esa única hora de caos captura lo que los equipos de seguridad en todo el ecosistema DeFi han estado susurrando desde 2023 y gritando desde el atraco de $ 1,4 mil millones a Bybit: el código de Solidity ya no es el objetivo fácil. El front-end lo es. Y el punto ciego colectivo de la industria está costando a los usuarios más que cualquier explotación de contrato inteligente en la historia.

La anatomía de un ataque de front-end

Para entender por qué Bonk.fun es importante mucho más allá de su modesto impacto financiero, hay que entender qué fue atacado — y qué no.

Los contratos inteligentes de Bonk.fun, la lógica on-chain que acuña tokens y enruta la liquidez a través de Raydium, funcionaron exactamente como se diseñaron durante todo el incidente. La blockchain nunca mintió. Lo que mintió fue la interfaz de usuario.

Los atacantes obtuvieron el control de la cuenta de dominio del equipo, probablemente a través de una credencial comprometida en el registrador o en el nivel del servidor de nombres. Con el control sobre el DNS, pudieron apuntar bonk.fun a su propio servidor — o, de manera más sutil, inyectar JavaScript malicioso en la página que los usuarios ya estaban visitando. La carga útil era elegante: un banner de "Términos de servicio" que pedía a los visitantes firmar un mensaje de billetera rutinario para continuar usando el sitio. La solicitud de firma parecía ordinaria. Las billeteras avisaron. Los usuarios hicieron clic en aprobar.

Esa firma no era un reconocimiento de términos. Era un permiso eth_signTypedData que otorgaba a los atacantes una aprobación de gasto ilimitada sobre los tokens del usuario. Una vez firmada, un contrato de drenado (drainer) barrió la billetera en una sola transacción. Para cuando los proveedores de seguridad de los navegadores marcaron el dominio, alrededor de 35 billeteras habían desaparecido. La rápida detección del equipo mantuvo las pérdidas "mínimas" según la propia descripción del equipo de Bonk, pero el vector de ataque en sí quedó devastadoramente demostrado.

Por qué el 100 % de los exploits recientes de alto perfil apuntan a los front-ends

Bonk.fun no es un caso aislado. Es la última entrada en un patrón de 2025 – 2026 tan consistente que ahora parece una taxonomía:

  • Febrero de 2025 — Compromiso de Safe{Wallet} de Bybit. El Grupo Lazarus de Corea del Norte aplicó ingeniería social a la estación de trabajo macOS de un desarrollador de Safe, robó credenciales de AWS e inyectó JavaScript malicioso en la interfaz de usuario de Safe{Wallet} que se activaba solo cuando los firmantes de la billetera fría de Bybit aprobaban una transacción. Pérdida: $ 1,4 mil millones en ETH — el mayor robo de criptomonedas individual jamás registrado.
  • 2024 – 2025 — Secuestro de DNS de KuCoin. Los atacantes interceptaron credenciales de inicio de sesión y drenaron fondos, contribuyendo a aproximadamente $ 52 millones en pérdidas.
  • Diciembre de 2025 — Extensión de Chrome de Trust Wallet. Una actualización maliciosa enviada a través de la tienda oficial de extensiones exfiltró datos de billeteras y drenó aproximadamente $ 7 millones de cientos de usuarios antes de ser eliminada.
  • 2023 — Ataque de DNS a Curve Finance. Un compromiso del servidor de nombres en el dominio de Curve redirigió curve.fi a un front-end malicioso, solicitando aprobaciones que drenaron aproximadamente $ 575.000, a pesar de que el backend no fue tocado.
  • 2021 — Exploit de Cloudflare de BadgerDAO. Un compromiso de la clave API de Cloudflare Workers permitió a los atacantes inyectar scripts de recolección de aprobaciones en el front-end de Badger, robando aproximadamente $ 120 millones.

Cada uno de estos incidentes eludió la seguridad de los contratos inteligentes. Cada uno de ellos explotó algo que la industria cripto no controla: registradores de DNS, proveedores de CDN, tiendas de extensiones, endpoints de desarrolladores, tuberías de construcción. El patrón es incómodo porque es honesto — la infraestructura Web2 es el suelo de seguridad de la Web3, y ese suelo está plagado de agujeros.

Los datos: los drenadores de billeteras disminuyen, pero la superficie de ataque aumenta

A primera vista, las cifras cuentan una historia tranquilizadora. Chainalysis y los rastreadores del ecosistema de drenadores informaron que las pérdidas totales por phishing de drenadores de billeteras cayeron a **83,85millonesen2025unacaıˊdadel8383,85 millones** en 2025 — una **caída del 83 %** desde casi 494 millones en 2024. El número de víctimas cayó un 68 % a alrededor de 106.000.

Pero al alejar el zoom, surge una imagen diferente:

  • Los hackeos de billeteras personales alcanzaron los $ 713 millones en 2025, lo que convierte a las billeteras individuales en la categoría de pérdida individual más grande en cripto.
  • **Las pérdidas totales de Web3 ascendieron a aproximadamente 2,712,94milmillonesen2025,frentealos2,71 – 2,94 mil millones en 2025**, frente a los 2,01 mil millones en 2024, según estimaciones combinadas de Chainalysis, PeckShield y SlowMist.
  • Los ataques basados en permisos (Permit) representaron el 38 % de las pérdidas en incidentes superiores a $ 1 millón — las firmas, no el código, son ahora el principal método de exfiltración.
  • Las firmas maliciosas EIP-7702 surgieron a las pocas semanas de la actualización Pectra de Ethereum, permitiendo a los atacantes agrupar múltiples acciones maliciosas en una sola aprobación del usuario. Solo dos casos de agosto de 2025 costaron $ 2,54 millones.

La economía de los drenadores no se redujo porque las defensas mejoraran. Se redujo porque los atacantes se movieron hacia un mercado superior — de drenadores minoristas que robaban 200aquıˊy200 aquí y 2.000 allá, a compromisos de front-end dirigidos, de grado de estado-nación, contra objetivos institucionales y de custodia de alto valor. El atraco de Bybit por sí solo fue 17 veces el total global de drenadores para 2025.

DNS , CDNs y la pila de confianza que el ecosistema cripto no posee

Aquí está la incómoda verdad que un equipo de protocolo enfrenta cuando intenta fortalecer su front-end : la mayor parte de la superficie de seguridad no está bajo su control .

Una implementación típica de DeFi toca al menos siete capas de infraestructura Web2 :

1 . ** Registrador de dominios ** ( GoDaddy , Namecheap , Gandi ) — la autoridad máxima sobre quién es el dueño del dominio . 2 . ** Proveedor de DNS autoritativo ** ( Cloudflare , Route53 , NS1 ) — el sistema que indica a los navegadores hacia dónde apunta el dominio . 3 . ** CDN y red de borde ** ( Cloudflare , Fastly , Akamai ) — el servidor que realmente entrega el HTML y JavaScript . 4 . ** Proveedor de hosting ** ( AWS , GCP , Vercel ) — donde reside el front-end compilado . 5 . ** Pipeline de construcción ** ( GitHub Actions , Vercel , Netlify ) — que firma y despliega los artefactos . 6 . ** Scripts de terceros ** ( analítica , conectores de billeteras , monitoreo ) — código que el equipo no escribió pero que se envía de todos modos . 7 . ** Tiendas de extensiones de navegador ** ( Chrome Web Store , Firefox Add-ons ) — el canal de entrega para las propias billeteras .

Un atacante solo necesita comprometer uno de estos para insertar una solicitud de firma en la pantalla del usuario . Los protocolos que defienden $ 100 mil millones en TVL dependen estructuralmente de la credencial más débil de cualquiera de los siete proveedores diferentes ; la mayoría de los cuales tratará la cuenta de un equipo DeFi de la misma manera que trata un blog de peluquería canina .

El NIST finalmente actualizó su guía de seguridad de DNS en marzo de 2026 con el documento ** SP 800-81r3 ** , reemplazando un documento de 2013 . Es la primera actualización federal sustancial en más de una década e impulsa el uso de ECDSA y Ed25519 sobre RSA para DNSSEC . Eso es útil — pero la adopción de DNSSEC en los registradores convencionales sigue siendo tan irregular que la mayoría de los protocolos cripto no pueden activarlo de manera confiable .

El " Estándar de Front-end Seguro " que el ecosistema cripto aún no tiene

La seguridad de los contratos inteligentes tiene una curva de madurez : verificación formal , auditorías de Trail of Bits y OpenZeppelin , recompensas por errores ( bug bounties ) en Immunefi , monitoreo on-chain de Hypernative y Forta . Un protocolo bien financiado en 2026 puede señalar un árbol de Merkle de controles defensivos alrededor de su código on-chain .

El front-end no tiene nada de eso . No existe un equivalente a un informe de auditoría para la configuración del registrador de un equipo . No hay un estándar de la industria para multi-sig en los cambios de nombre de dominio . No hay SOC 2 para un panel de Cloudflare . No hay una atestación on-chain de que el JavaScript que un usuario está ejecutando coincida con la versión que el equipo implementó .

Están surgiendo algunos patrones prometedores :

  • ** Hashes de Integridad de Subrecursos ( SRI ) ** que bloquean los scripts de terceros a bytes conocidos .
  • ** Cabeceras de Política de Seguridad de Contenido ( CSP ) ** que evitan la inyección de scripts en línea .
  • ** Manifiestos de front-end firmados ** publicados on-chain para que las billeteras puedan verificar lo que están ejecutando .
  • ** Front-ends alojados en IPFS con resolución ENS ** , como los que usan Uniswap y un número creciente de DEXs , reduciendo la dependencia del DNS .
  • ** Simulación de transacciones en el lado de la billetera ** ( Rabby , MetaMask Snaps , Blowfish ) que muestra a los usuarios lo que realmente hace una firma antes de que firmen .
  • ** Cuentas de registrador protegidas por llaves de hardware ** , proveedores de DNS redundantes y pipelines de construcción restringidos — la higiene operativa que la guía de DomainSure y Sherlock para 2026 ahora define como requisitos básicos .

Ninguno de estos está estandarizado . Ninguno es obligatorio . Y la mayoría de los protocolos , especialmente las plataformas de lanzamiento ( launchpads ) rudimentarias donde ocurre gran parte de la acción de las meme-coins , se lanzan sin ninguno de ellos .

Lo que Bonk.fun nos dice sobre los próximos doce meses

Bonk.fun es un estudio de caso útil precisamente porque no es una pérdida de mil millones de dólares . El equipo detectó el secuestro ( hijack ) rápidamente . Las pérdidas se limitaron a docenas de usuarios , no a miles . El dominio fue recuperado en pocas horas .

Pero la economía que lo rodea es explosiva . Los ingresos de letsBONK.fun aumentaron más del 600 % a principios de 2026 , con tarifas diarias alcanzando un máximo de $ 352,793 . La plataforma se ha convertido en un importante enrutador de liquidez en el ecosistema de memes de Solana , y cada atacante en la Tierra sabe ahora que su front-end es el camino de menor resistencia . El próximo secuestro tendrá como objetivo una plataforma más grande en un momento más tranquilo , y cuando tenga éxito , la nota al pie de página de las 35 billeteras del 12 de marzo parecerá insignificante .

Las tres respuestas competitivas de la industria ya son visibles :

1 . ** Fortalecimiento del perímetro ** — más llaves de hardware , más DNSSEC , más manifiestos firmados , más DNS redundante . El camino lento . 2 . ** Defensa en el lado de la billetera ** — simulación de transacciones , advertencias de firma ciega ( blind-signing ) y bases de datos de drenadores que marcan contratos maliciosos conocidos antes de que el usuario firme . El camino rápido , pero totalmente dependiente de los proveedores de billeteras , cada uno de los cuales lo implementa de manera diferente . 3 . ** Cambio arquitectónico ** — IPFS + ENS , front-ends totalmente on-chain y políticas de abstracción de cuentas que simplemente se niegan a firmar permisos ilimitados . El único camino duradero , pero el más lento de implementar .

La incómoda realidad es que ** cada protocolo que actualmente ofrece un front-end HTTPS está estructuralmente expuesto ** , y ninguna cantidad de presupuesto para auditorías soluciona eso . El secuestro de Bonk.fun se repetirá en objetivos más grandes durante años hasta que la industria se ponga de acuerdo en un equivalente de front-end para las mejores prácticas de contratos inteligentes .

La infraestructura es una elección de seguridad

Los ataques de front-end han expuesto una verdad inconveniente sobre la Web3 : la descentralización on-chain significa poco si sus usuarios están a un registro DNS de distancia de perderlo todo . Los protocolos que sobrevivan a la próxima ola serán aquellos que traten cada dependencia de la Web2 — registrador , CDN , canal de extensión , endpoint RPC — como parte de su modelo de amenazas , no como una partida en la factura de su proveedor .

  • BlockEden.xyz opera infraestructura de RPC e indexadores en Sui , Aptos , Ethereum , Solana y más de una docena de otras cadenas , reforzada con endpoints redundantes , protección DDoS y los controles operativos que los equipos institucionales necesitan para mantener su back-end fuera de la superficie de ataque . Explore nuestro mercado de API para construir sobre una infraestructura diseñada para una web adversaria . *
Share on Twitter