Exploit de Namada: cómo un fallo en la lógica IBC drenó el 99,9% del TVL el 19 de junio de 2026

Un detalle crítico es que el exploit fue inicialmente difícil de detectar porque un indexador desactualizado seguía mostrando los fondos como disponibles, mientras que las consultas RPC en vivo en la propia cadena mostraban saldos cero. En la práctica, la interfaz de usuario tergiversaba el estado en la cadena, haciendo que la pérdida fuera invisible desde las vistas estándar del panel hasta que se realizaba una consulta directa a la cadena .

¿Cómo se enrutaron los fondos robados?

Los datos en la cadena revelan que el atacante explotó la vulnerabilidad IBC para barrer los activos blindados entre cadenas . Aproximadamente 228.517 ATOM fueron transferidos vía IBC a una dirección específica en Cosmos Hub . Esa dirección recibió los fondos el 18 de junio, y los activos fueron drenados en cuestión de horas a través de una serie de transferencias IBC y múltiples transacciones de retiro salientes, dejando solo un pequeño saldo residual . El uso de IBC permitió al atacante mover el valor robado a través de las cadenas rápidamente, complicando los esfuerzos de recuperación .

Impacto en el valor total bloqueado (TVL)

El exploit prácticamente eliminó todo el valor del pool de privacidad principal de Namada. Según múltiples informes, el TVL de Namada se desplomó de aproximadamente 600.000 dólares a solo 598 dólares después del ataque . Esto representa aproximadamente una destrucción del 99,9% del valor del pool protegido, una pérdida catastrófica para un protocolo que se había posicionado como el "centro de activos protegidos" del ecosistema Cosmos .

Respuesta del equipo de Namada

El equipo de Namada respondió públicamente en varios frentes:

• Reconocimiento público: El 20 de junio, el equipo publicó en X (antes Twitter): "Ha ocurrido un exploit en el protocolo Namada. Estamos investigando el problema e involucrando a las partes relevantes" .
• Investigación y coordinación: El equipo lanzó una investigación completa y afirmó que estaba coordinando con múltiples agencias de seguridad para determinar la causa exacta y el impacto .
• Llamamiento de sombrero blanco: El equipo hizo un llamado al atacante para que se presentara, escribiendo: "Si eres el hacker de sombrero blanco detrás de este exploit, por favor ponte en contacto con nosotros" . El equipo señaló que esto ayudaría a "identificar la falla y acelerar la resolución" .
• Actualización de la cadena considerada: Los informes indican que el equipo comenzó a evaluar una actualización de la cadena para abordar la vulnerabilidad y prevenir su recurrencia .
• Aviso a los usuarios: El equipo recomendó a los usuarios que se abstuvieran de interactuar con el protocolo mientras la investigación estaba en curso .

Preocupaciones de seguridad más amplias

El exploit de Namada plantea serias dudas tanto para los diseños de blockchain centrados en la privacidad como para el ecosistema Cosmos en 2026.

Para los diseños de blockchain que preservan la privacidad

• Superficies de ataque opacas: La misma característica que hace valioso al MASP—proteger los datos de las transacciones—también dificulta la detección de actividades anómalas en tiempo real. El punto ciego del indexador desactualizado (donde la interfaz mostraba fondos que ya no estaban) es un ejemplo concreto de cómo las herramientas de privacidad pueden ocultar la ejecución de exploits a los operadores y usuarios .
• Superficie de auditoría compleja: El Exploit en la Lógica de Transferencia IBC apuntó a la intersección de la privacidad (pools protegidos) y la interoperabilidad (IBC), una superficie de ataque compleja que las auditorías de contratos inteligentes tradicionales pueden no cubrir por completo .
• Suposiciones de confianza en los indexadores: Confiar en los indexadores en lugar del estado en vivo de la cadena para mostrar los saldos crea peligrosas brechas de latencia que los atacantes pueden explotar antes de que alguien lo note .

Para el ecosistema Cosmos en 2026

• Un patrón de fallos de seguridad: El exploit de Namada es parte de una serie de incidentes de seguridad en el ecosistema Cosmos en junio de 2026. Apenas un día antes (19 de junio), el puente de Secret Network fue drenado por 4,67 millones de dólares a través de un exploit en el puente de Axelar, lo que agravó las preocupaciones sobre los riesgos de seguridad entre cadenas en las cadenas conectadas por IBC .
• IBC como espada de doble filo: La misma interoperabilidad que hace poderoso a Cosmos—el movimiento instantáneo de activos entre cadenas—fue utilizada aquí para sacar rápidamente los fondos robados a través de las cadenas, dificultando la recuperación .
• Percepción de riesgo para DeFi de privacidad: El hackeo de Namada, tan cercano al drenaje del puente de Secret Network, plantea serias preguntas sobre si los proyectos centrados en la privacidad en el ecosistema Cosmos están siendo atacados específicamente o simplemente están heredando debilidades sistémicas de seguridad IBC .
• Fragilidad de los protocolos con bajo TVL: La pérdida casi total del TVL (~600.000 $ a 598 $) en un solo exploit subraya lo frágiles que son los protocolos de privacidad pequeños y medianos cuando existe una única vulnerabilidad crítica .