Investigadores de ciberseguridad informaron que grupos criminales con vínculos con Rusia están detrás de una oleada de campañas de drenaje de activos digitales dirigidas a monederos en las redes blockchain Solana y TON. Las campañas implican bots automatizados que explotan las debilidades de los protocolos de finanzas descentralizadas (DeFi) para transferir rápidamente fondos desde cuentas de usuario sin autorización, según empresas de seguridad blockchain que rastrean la actividad.
Los analistas señalaron que las campañas surgieron por primera vez a finales de 2025 y han continuado hasta principios de 2026, con los atacantes centrados en monederos no custodiales vinculados a los ecosistemas Solana y The Open Network (TON). Los atacantes despliegan scripts automáticos que escanean carteras mal configuradas o fallos en la interacción de contratos inteligentes, e inician transacciones que transfieren activos a cuentas controladas por los delincuentes. Los esquemas han agotado millones de dólares en valor agregado de criptomonedas, según las firmas de valores.
Los especialistas en forenses de blockchain han atribuido la actividad a agrupaciones de direcciones de monedero y patrones de transacciones asociados a grupos que se cree tienen su sede en Rusia. Estos clústeres muestran enlaces a campañas previamente documentadas que también dirigían a otras redes descentralizadas. Los investigadores señalaron que el uso de bots automatizados permite a los atacantes actuar a gran velocidad y escala, superando la capacidad de algunos usuarios para responder antes de que los fondos salgan de su control.
Las campañas han explotado una serie de vulnerabilidades, incluyendo una configuración defectuosa de la cartera y configuraciones de permisos débiles que otorgan a los contratos inteligentes acceso excesivo a los fondos de los usuarios. En muchos casos, los propietarios de activos autorizaron interacciones con aplicaciones descentralizadas (dApps) sin comprender completamente los ámbitos de permisos, lo que permitió a los atacantes retirar tokens una vez que se obtuvo el control. Los expertos en seguridad aconsejan a los usuarios revocar permisos no utilizados y revisar cuidadosamente las interacciones con la cartera antes de autorizar las operaciones.
Los desarrolladores comunitarios de Solana y TON han respondido emitiendo alertas y recomendando medidas de precaución para los usuarios. Estas incluyen actualizar el software de la cartera a las últimas versiones, habilitar funciones de seguridad mejoradas y evitar la interacción con contratos inteligentes o dApps no verificados. Los desarrolladores de ambos ecosistemas afirmaron que están monitorizando la actividad sospechosa de las carteras y colaborando con investigadores externos de seguridad para identificar y abordar amenazas emergentes.
Observadores del sector señalaron que las redes blockchain, por diseño, permiten el control directo de los activos por parte de los titulares individuales de la cartera, poniendo un fuerte énfasis en las prácticas de seguridad propias de los usuarios. A diferencia de los intercambios centralizados, los usuarios de monederos no custodiales tienen la responsabilidad de proteger las claves privadas y gestionar los permisos. Las recientes campañas de desgaste ponen de manifiesto riesgos persistentes en entornos financieros descentralizados y la necesidad de una vigilancia continua y mejoras en seguridad.