Los préstamos relámpago son una de las invenciones más extrañas y poderosas de DeFi: dinero que puedes pedir prestado sin aportar ni un centavo de garantía. Los desarrolladores innovan constantemente para que el dinero fluya, se preste, se intercambie y se deposite, todo gobernado por código en lugar de bancos. Pero como en cualquier experimento de laboratorio, una suposición errónea en el diseño puede generar una explosión. Entre el 27 de agosto y el 2 de septiembre de 2025 dos protocolos DeFi importantes, BetterBank en PulseChain y Bunni v2 en Ethereum, sufrieron ataques y perdieron en conjunto 13.3 millones de dólares.

En apariencia los ataques parecían muy distintos. BetterBank falló por una lógica de recompensas desbocada mientras que Bunni v2 colapsó por errores matemáticos en hooks personalizados. En el fondo ambas historias comparten un mismo fallo de origen: los protocolos asumieron que el sistema se comportaría de forma normal, cuando en realidad los atacantes explotan precisamente esas expectativas. A continuación analizamos ambos casos paso a paso, explicando cómo estaban pensados los diseños, qué falló y por qué términos como préstamo relámpago o hook importan.

Qué es un préstamo relámpago. Un préstamo relámpago es un préstamo sin colateral que debe devolverse dentro de la misma transacción. Las blockchains procesan transacciones de forma atómica, es decir todo dentro de la transacción se ejecuta o se revierte. Un atacante puede pedir millones, ejecutar operaciones complejas y devolverlos en el mismo instante, o bien manipular estados intermedios para sacar provecho si el protocolo no valida adecuadamente esos cambios temporales.

Qué es un pool de liquidez. Un pool es como una máquina expendedora con dos tokens: si depositas uno puedes obtener el otro según la relación de reservas. Muchas defensas en DeFi dependen de la apariencia de actividad en pools; si alguien crea pools falsos o falsifica volumen, puede engañar sistemas que premian el intercambio real por actividad aparentemente legítima.

El exploit a BetterBank. BetterBank se había presentado como una plataforma de préstamos innovadora con un sistema dual de tokens: Esteem como token de gobernanza y recompensa, y Favor como token operativo para prestar y pedir prestado. Las reglas incentivaban la compra de Favor con un 44 por ciento de recompensa en Esteem, el staking de Esteem permitía mintear Favor, y quemar Esteem devolvía parte de su valor en Favor. La lógica de recompensas otorgaba Esteem por compras de Favor sin validar si la compra era genuina.

El atacante creó contratos maliciosos y pools falsos, simuló swaps sin sustancia, y explotó la distribución automática de Esteem. Con flash loans tomó grandes cantidades de DAI y tokens PLP, usó removeLiquidity en routers para vaciar pools reales e introdujo un token falso con liquidez mínima para generar volumen aparente. Ese volumen falso disparó la emisión de Esteem, que luego fue convertido de nuevo en Favor y cambiado por activos reales como DAI. El resultado fue un drenaje masivo que reportó pérdidas equivalentes a cientos de millones en tokens y permitió al atacante retener cantidades enormes de DAI, PLSX y WPLS.

Por qué funcionó. BetterBank nunca respondió a la pregunta crítica es este intercambio real o alguien está manipulando recompensas. No validó la autenticidad de swaps, no impuso límites de suministro o emisión de recompensas, y confió en que los pools eran honestos. Esa confianza fue aprovechada para fabricar valor de la nada.

El exploit a Bunni v2. Bunni v2, construido sobre Uniswap v4, aprovechó la novedad de los hooks para implementar una curva de distribución uniforme que rebalanciaba automáticamente después de cada intercambio. Un hook es un trozo de lógica que se invoca durante swaps y puede leer balances, mover tokens o aplicar reglas adicionales. Bunni usó hooks para nivelar pools tras cada operación, pero un error matemático en el manejo de cambios temporales y deltas permitió que el hook calculase mal cuánto se debía.

Cómo se desarrolló el ataque. El atacante tomó un préstamo relámpago de alrededor de 3 millones en USDT, realizó swaps encadenados en el pool USDC–USDT de Bunni forzando la ejecución del hook, y aprovechó la mala contabilidad flash para que en cada intercambio el sistema reconociera un balance a favor del atacante mayor del real. Repitiendo la secuencia el error se acumuló hasta permitir retirar un saldo inflado, devolver el préstamo y embolsarse aproximadamente 8.3 millones de dólares.

Por qué funcionó. Bunni confió demasiado en la corrección matemática de su hook y no contempló escenarios adversariales generados por préstamos relámpago. No hubo comprobaciones estrictas de deltas ni mecanismos de seguridad adicionales para detectar distorsiones temporales de balance.

Lecciones comunes. Comparando ambos ataques emerge un patrón: confiar en apariencias y en supuestos ideales es peligroso en un entorno adversarial. Recomendaciones concretas para equipos de desarrollo: validar la autenticidad de swaps antes de emitir recompensas, imponer límites de emisión y supply caps, diseñar controles que resistan préstamos relámpago y estados temporales, implementar sanity checks y delta checks en hooks, usar reentrancy locks y pruebas adversariales que simulen atacantes determinados, no solo rutas felices.

Cómo puede ayudar Q2BSTUDIO. En Q2BSTUDIO somos una empresa de desarrollo de software especializada en aplicaciones a medida y software a medida, con experiencia en inteligencia artificial aplicada a empresas, ciberseguridad, servicios cloud aws y azure y servicios de inteligencia de negocio. Ayudamos a diseñar arquitecturas resistentes a escenarios adversariales en blockchain y sistemas financieros, y desarrollamos soluciones con agentes IA y dashboards en power bi para monitorizar anomalías y alertar en tiempo real. Si su organización necesita fortalecer defensas o construir plataformas seguras, podemos asistirle con auditorías y desarrollo de controles, incluyendo pruebas de pentesting y automatización de procesos.

Contáctenos para seguridad y detección temprana: además de ofrecer consultoría en ciberseguridad ofrecemos servicios concretos como análisis de vulnerabilidades y pruebas de intrusión que reducen el riesgo de exploits. Más información sobre nuestros servicios de seguridad en servicios de ciberseguridad y pentesting.

Si su prioridad es integrar inteligencia artificial para automatizar detección y respuesta, o potenciar análisis con modelos y agentes, en Q2BSTUDIO desarrollamos soluciones de ia para empresas y agentes IA personalizados. Vea ejemplos de proyectos y servicios de inteligencia artificial en nuestra página de inteligencia artificial.

Conclusión. En menos de una semana dos protocolos perdieron más de 13 millones de dólares por errores conceptuales distintos pero relacionados: BetterBank por confiar en que swaps significaban intercambios genuinos y Bunni por confiar en que la matemática de un hook sería infalible. La moraleja para desarrolladores y empresas es clara: diseñar pensando en el peor atacante, no en el usuario ideal. Si desea transformar esa lección en defensas prácticas, Q2BSTUDIO puede ayudarle a construir sistemas seguros y escalables que integren aplicaciones a medida, inteligencia artificial, ciberseguridad, servicios cloud aws y azure, servicios inteligencia de negocio, y soluciones con power bi.