Launchpad de Memecoins de Bitcoin Odin.fun Pierde $7 Millones en Explotación de Liquidez

La plataforma de lanzamiento de memecoins basada en Bitcoin, Odin.fun, perdió aproximadamente 58,2 BTC, valorados en aproximadamente $7 millones, a través de una explotación de liquidez, según la firma de seguridad blockchain PeckShield.

El ataque ocurrió a través de lo que a menudo se llama un ataque de "manipulación de liquidez". Se desencadenan cuando un actor malintencionado mueve grandes cantidades de criptomonedas o efectivo de una manera que afecta las operaciones en la plataforma. Odin.fun ha pausado actualmente sus operaciones.

Bob Bodily, el cofundador y CEO del proyecto, confirmó en una publicación en X que el tesoro de la empresa no es lo suficientemente grande como para cubrir las pérdidas, pero dijo que los fondos restantes almacenados en la plataforma están seguros.

La empresa dice que ya ha contratado a un equipo de seguridad de terceros no identificado para realizar una auditoría completa de su código, lo cual podría llevar "hasta una semana". Una vez completado, Odin.fun supuestamente reanudará sus operaciones.

La verdadera identidad de los perpetradores no se conoce, pero el fundador señala a varios usuarios maliciosos, "principalmente vinculados a grupos en China", agregando que sus socios OKX y Binance ya están comunicándose con las autoridades chinas con respecto al incidente.

Odin.fun se lanzó en enero de 2025 para permitir a los usuarios comerciar con Bitcoin Runes, un tipo de token fungible basado en Bitcoin ampliamente comparable a los tokens BRC-20. Creadas por Casey Rodarmor en abril de 2024, también creador de Bitcoin Ordinals, las Bitcoin Runes permiten a las personas crear proyectos de memecoins mientras se mantienen en la blockchain de Bitcoin.

El fundador le dijo a Decrypt en enero de 2025 que la visión era que la plataforma permitiera que las memecoins se negociaran "a la velocidad de la luz".

¿Qué es un ataque de manipulación de liquidez?

Un ataque de liquidez es cuando un actor malintencionado mueve grandes cantidades de criptomonedas o efectivo de una manera que reduce la facilidad de negociación en una plataforma. Este tipo de ataques pueden causar fluctuaciones de precios o forzar liquidaciones por parte de traders apalancados.

En el caso reciente de Odin.fun, los hackers utilizaron el creador de mercado automatizado de la plataforma para inflar artificialmente el precio de la memecoin SATOSHI•NAKAMOTO ($SATOSHI) y retirar la liquidez en Bitcoin, según un investigador chino on-chain.

Los ataques basados en la manipulación de liquidez han seguido apareciendo a lo largo de los años. En 2022, la plataforma DeFi Mango Markets perdió alrededor de $116 millones debido a una explotación similar. Ari Redbord, jefe global de políticas en el analista de seguridad blockchain TRM Labs, le dijo a Decrypt que el incidente reciente se debió a "una falla introducida durante una actualización del creador de mercado automatizado (AMM)".

Recomienda que las plataformas se protejan de este tipo de ataques utilizando oráculos de precios externos, así como "estableciendo límites de depósito y deslizamiento, monitoreando transacciones en tiempo real y auditando completamente el código antes de la implementación".

Redbord le dijo a Decrypt que los incidentes de manipulación de liquidez han aumentado en los últimos años con el auge de DeFi, ya que los criminales "suelen apuntar a protocolos nuevos o poco auditados vinculados a operaciones de alta volatilidad, explotando la emoción y la velocidad para actuar antes de ser detectados".

Redbord señaló que las plataformas de memecoins pueden ser especialmente vulnerables a este tipo de exploits, ya que muchas operan con "liquidez superficial, propiedad de tokens concentrada, lanzamientos apresurados y auditorías omitidas", lo que puede facilitar la manipulación de precios y permitir que el pool de liquidez sea "drenado en minutos".

s0xToolman, un analista seudónimo en la herramienta de auditoría DeFi Bubblemaps, comentó sobre la simplicidad del exploit utilizado, diciendo "cualquiera que tenga conocimientos sobre pools DEX sabría esto". Le dijo a Decrypt "no hay excusa para que el equipo no supiera que esto podría suceder".