Ataques a dYdX a través de Paquetes Infectados en npm y PyPI
Investigadores han dado a conocer que individuos malintencionados están atacando a dYdX mediante paquetes infectados en npm y PyPI, capaces de sustraer credenciales y vaciar las billeteras de desarrolladores y usuarios.
Paquetes comprometidos en JavaScript y Python han robado frases semilla y claves privadas.
El ataque impactó en entornos tanto de prueba como de producción.
Especialistas advierten sobre una creciente tendencia en ataques a la cadena de suministro en DeFi.
Alerta de Seguridad en dYdX
Un informe reciente indica que se han encontrado paquetes maliciosos en npm y PyPI que vacían billeteras asociadas al exchange. Los atacantes están robando frases semilla y claves privadas de desarrolladores y usuarios, sumándose a una tendencia en aumento en ataques a la cadena de suministro.
Impacto en dYdX y el Ecosistema DeFi
dYdX es un exchange descentralizado de derivados que facilita el trading perpetuo en múltiples mercados. Investigadores de Socket subrayaron que todas las aplicaciones que utilizan versiones comprometidas están en peligro; el ataque afecta a los desarrolladores durante las pruebas y a los usuarios finales en producción.
Compromiso de Paquetes y Robo de Credenciales
Los paquetes infectados incluyen versiones del cliente oficial de dYdX en npm, identificado como @dydxprotocol/v4-client-js, y en PyPI, con el paquete comprometido dydx-v4-client. Los ataques han permitido a los atacantes tomar control total de las billeteras y sustraer criptomonedas.
Infraestructura de Robo y Control Remoto
Los actores maliciosos utilizaron las credenciales robadas, enviando frases semilla a un dominio falso usando typosquatting. En PyPI, también se implementó un troyano de acceso remoto, permitiendo ejecutar malware en sistemas infectados y manteniendo control persistente sobre los dispositivos.
Un Preocupante Patrón de Ataques
Este incidente refuerza las alarmas sobre los crecientes riesgos de ataques a la cadena de suministro en el ecosistema DeFi. Se aconseja a todos los usuarios de herramientas relacionadas con dYdX revisar sus aplicaciones para identificar dependencias de paquetes maliciosos detectados.
🔹 Co-Fundador y Editor Principal de Blockchain.cl 🔹 Psicólogo de Mercados Financieros 🔹 Inversor Crypto desde 2017 (8+ años de experiencia) 🔹 Ex-Analista de Riesgos Financieros 🔹 Speaker en Conferencias Crypto LATAM 🔹 Formación: Psicología (Universidad San Sebastián) + Finanzas Conductuales
💡 Filosofía: "Las criptomonedas no son solo tecnología—son psicología, economía y sociología combinadas. Entender el comportamiento humano es clave para navegar este espacio."
⚠️ Disclaimer: El contenido de Blockchain.cl es informativo y educativo. NO es consejo financiero, de inversión o legal. Haz tu propia investigación (DYOR) antes de tomar decisiones financieras.
📊 Holdings Crypto Personales (Declarados Transparentemente): • Bitcoin (BTC): 65% - Hold desde 2017 • Ethereum (ETH): 20% - Hold desde 2018 • Stablecoins (USDC, DAI): 10% • Altcoins (SOL, AVAX, MATIC, DOT): 5%
🔒 Conflictos de Interés: No tengo posiciones significativas (>1% del portfolio) en proyectos que cubro activamente. Si escribo sobre un proyecto donde tengo holdings menores, lo declaro al final del artículo.
