Compass Investments

El protocolo privado Foom.Cash ha perdido aproximadamente 2,26 millones de dólares después de que algún atacante fabricara pruebas zkSNARK como resultado de una configuración incorrecta del verificador.

El exploit afectó a contratos inteligentes en las redes Ethereum y Base, poniendo a cero 24,28 billones de tokens FOOM, de los cuales unos 427.000 dólares se obtuvieron de forma inapropiada y aproximadamente 1,83 millones de dólares se debieron a las acciones de hackers de sombrero blanco. Las organizaciones de ciberseguridad descubrieron que la raíz del problema era una mala configuración del sistema de verificación Groth16, que permitía realizar múltiples retiradas.

Foom.Cash, una bifurcación de privacidad en la blockchain de Ethereum que se posiciona como una versión mejorada del mezclador sub-sancionado Tornado Cash, habría perdido unos 2,26 millones de dólares en tokens debido a una vulnerabilidad en su sistema de verificación de criptodivisas, sobre la que han alertado varias agencias de análisis.

El ataque, que afectó a contratos en Ethereum y Base, provocó la pérdida de 24.283.773.519.600 tokens FOOM, el principal activo de la plataforma. Los investigadores de seguridad señalaron que el exploit es casi exactamente igual a una vulnerabilidad descubierta en otro protocolo unos días antes. |Una sola transacción en la red Base supuso una pérdida de unos 427.000 dólares, que se atribuyen al explotador directo. Las transacciones de Ethereum, por valor de unos 1,83 millones de dólares, parecen formar parte de una operación de rescate de sombrero blanco.

¿Cómo se produjo la brecha?

GoPlus Security, una red de seguridad Web3 supervisada por BinanceLabs, documentó el incidente, indicando que una imprecisión en la configuración de la clave de verificación permitió a un estafador falsificar los registros de verificación de zkSNARK. Esto les permitió fabricar credenciales criptográficas aceptadas por el protocolo como legítimas, y retirar así una cantidad significativa de tokens de los contratos comprometidos.

Certik, una empresa de seguridad blockchain, escribió en su cuenta X: “La razón principal radica probablemente en la configuración delta2==gamma2 para el verificador Groth16 en 0xc043865fb4D542E2bc5ed5Ed9A2F0939965671A6. Esto permite al explotador calcular el ‘pC’ requerido para varios ‘nullifierHash’ mientras mantiene el resto de entradas sin cambios, permitiendo múltiples recolecciones de tokens ZOOM”.

En pocas palabras, un protocolo que promovía activamente la casi inexpugnabilidad de sus barreras criptográficas se vio comprometido debido a un error de configuración.

El sistema de vigilancia Phalcon de BlockSec, que vigilaba en tiempo real la actividad sospechosa en ambas redes, informó de que el incidente parecía un ataque replicado. La empresa subrayó que se basaba en la misma causa raíz identificada en el reciente hackeo de Veil Cash.

Cabe señalar que el incidente de Veil Cash fue de menor escala, con pérdidas por un total de una pequeña cantidad de ETH, presumiblemente 2,9 ETH.

¿Qué es Foom.Cash? Foom.Cash se posiciona como un protocolo de lotería privada basado en ZKProof que combina el anonimato de Zcash (que opera como una blockchain privada separada), la funcionalidad DeFi del ecosistema Ethereum y un mecanismo de recompensa aleatoria incorporado.

Se le ha denominado una mejora de Tornado Cash y una alternativa a Zcash para la red Ethereum. Tornado Cash fue sancionado por el Departamento del Tesoro de EE.UU. en 2022, pero en marzo de 2025, la agencia levantó las restricciones sobre la plataforma. Según los representantes del proyecto, procesan más transacciones diarias que Tornado Cash, tienen una liquidez de más de ocho millones de dólares y ofrecen a los proveedores de liquidez rendimientos anuales de entre el 50% y el 80% .

El tema de la privacidad en DeFi vuelve a ganar popularidad: Zcash ha registrado un notable aumento de valor en los últimos meses, y Foom.Cash ha tratado de aprovechar esta tendencia ofreciendo anonimato dentro de la infraestructura existente de Ethereum.

la plataforma aprovecha una modificación específica de zkSNARKs, que es un componente clave que proporciona privacidad en protocolos reconocidos como Zcash.

¿Qué medidas está tomando Foom.Cash para recuperar los fondos y eliminar la vulnerabilidad?