El puente entre cadenas de MAP Protocol está suspendido; el atacante acuñó ilegalmente 10 billones de tokens MAPO

La empresa de seguridad on-chain Blockaid detectó el 20 de mayo que el componente de puente entre cadenas Butter Bridge V3.1, del protocolo MAP Protocol, fue atacado en Ethereum y BSC. El atacante aprovechó una falla de diseño en el smart contract, induciendo al contrato del puente a acuñar ilegalmente directamente en una nueva dirección creada aproximadamente 10 billones de tokens MAPO, equivalentes a 4,8 millones de veces la cantidad de 208 millones de MAPO en circulación legítima.

Mecanismo de ataque: falla de diseño del smart contract en el flujo de validación de mensajes reintentados

Blockaid confirmó que la causa raíz de este ataque es la falla de diseño en el smart contract del flujo de validación de mensajes reintentados de Butter Bridge V3.1. Se trata de un problema a nivel de implementación del contrato, y no de un fallo de la arquitectura del protocolo subyacente de MAP Protocol. El atacante, al inducir la ejecución del contrato por una ruta de validación incorrecta, logró que el contrato del puente eludiera la verificación de credenciales entre cadenas legítimas, acuñando directamente tokens en la cadena Ethereum hacia una dirección EOA recién creada.

Los puentes entre cadenas, técnicamente, necesitan validar simultáneamente mensajes provenientes de dos cadenas de bloques independientes, y cada cadena tiene su propio mecanismo de consenso, modelo de seguridad y reglas de confirmación final. El diseño de MAP Protocol adopta un modelo punto a punto y validación de cliente ligero, que en teoría tiene una superficie de ataque menor que las soluciones que dependen de validadores de terceros confiables. Sin embargo, en este incidente, la falla de diseño de la lógica de reintento del contrato proporcionó una vía explotable. Butter Network confirmó que se está llevando a cabo el trabajo de parcheo, auditoría y redepliegue.

Magnitud de las pérdidas y reacción del mercado de MAPO: datos confirmados

Cantidad en efectivo cobrada por el atacante: 52,21 ETH (aprox. 180 mil dólares), provenientes del pool de liquidez Uniswap V4 ETH/MAPO

Tenencia restante del atacante: aprox. 9.999,99 mil millones de unidades de MAPO, todavía en la billetera del atacante, lo que supone un riesgo continuo para todos los pools de liquidez relacionados con MAPO y para los listados en CEX

Impacto en el precio de MAPO: caída de aproximadamente 30% en un día tras la venta

Cantidad total acuñada ilegalmente: aprox. 10 billones de unidades, equivalentes a 4,8 millones de veces la circulación legítima (208 millones de unidades)

Pérdidas acumuladas por ataques a puentes entre cadenas en 2026 (hasta mediados de mayo): más de 328,6 millones de dólares

Medidas de respuesta confirmadas por MAP Protocol y Butter Network

La declaración oficial de MAP Protocol confirmó las siguientes medidas de contención que ya se han ejecutado: el puente entre MAPO ERC-20 y el mainnet de MAPO se ha pausado; se advirtió a los usuarios que no operen MAPO ERC-20 en Uniswap en este momento, y que durante el período de mitigación del incidente los pools de liquidez aún presentan riesgos; el equipo está coordinando con socios externos de seguridad para realizar la investigación.

La declaración oficial de Butter Network confirmó: ButterSwap ha pausado todas las operaciones; el trabajo de parcheo, auditoría y redepliegue está en curso; las transacciones pendientes se procesarán después de que se restablezca la seguridad; los fondos de los usuarios no sufrieron pérdidas directas y todas las transacciones afectadas se procesarán por completo cuando el sistema se recupere.

Preguntas frecuentes

¿Este ataque corresponde a una falla estructural de la arquitectura del protocolo base de MAP Protocol?

Blockaid confirmó que esta vulnerabilidad se origina en un problema de diseño del smart contract de Butter Bridge V3.1, específicamente en el flujo de validación de mensajes reintentados. Es una falla a nivel de implementación del contrato, no un fallo fundamental de la arquitectura punto a punto subyacente de MAP Protocol ni del modelo de validación de cliente ligero. Butter Network actualmente está realizando el parche y una nueva auditoría de este componente.

¿Por qué la tenencia restante de aproximadamente 9.999 mil millones de MAPO del atacante supone un riesgo continuo?

La billetera del atacante aún conserva aprox. 9.999,99 mil millones de MAPO acuñados ilegalmente, muy por encima de la circulación legítima (208 millones), en varios miles de veces. Si el atacante decide inyectar estos tokens en cualquier pool de liquidez de MAPO o presentar una solicitud de listado en un exchange centralizado, esto afectará en gran medida el precio del mercado de MAPO y su liquidez. El anuncio de Blockaid indica explícitamente que esta tenencia “supone un riesgo continuo para cualquier pool de MAPO o para el listado en CEX”.

¿Por qué los puentes entre cadenas siguen siendo un objetivo de alto riesgo para ataques en el ecosistema DeFi?

Técnicamente, los puentes entre cadenas necesitan manejar simultáneamente mensajes provenientes de dos cadenas de bloques independientes, y cada cadena cuenta con diferentes mecanismos de consenso, modelos de seguridad y reglas de confirmación final. Los contratos del puente normalmente bloquean grandes cantidades de activos en una de las cadenas y acuñan los tokens correspondientes en la otra. Una vez que existe una falla en la lógica del puente, el atacante puede robar los activos bloqueados o acuñar tokens sin respaldo de fondos. Los casos históricos incluyen el robo de más de 186 millones de dólares en 2022 del Nomad Bridge (error de autenticación), ataques contra Ronin Bridge y Wormhole, entre otros; hasta 2026, las pérdidas acumuladas por este tipo de ataques ya superan los 328,6 millones de dólares.