El Protocolo: Error que puede drenar todos sus tokens y que afecta a "miles" de sitios

Bienvenidos a The Protocol, el resumen semanal de CoinDesk de las historias más importantes en el desarrollo tecnológico de criptomonedas. Soy Margaux Nijkerk, reportera en CoinDesk.

En esta edición:

• Nuevo error de React que puede drenar todos sus tokens está afectando a 'miles' de sitios web
• Ripple expande la stablecoin RLUSD de $1.3 mil millones a L2s de Ethereum a través de Wormhole en una iniciativa Multichain
• Aave DAO Rechaza el Cambio en las Tarifas de Interfaz que Se Alejan del Tesoro
• El proyecto NFT Pudgy Penguins conquista la Sphere de Las Vegas en campaña navideña

Noticias de la Red

FALLA QUE PODRÍA VACIAR CARTERAS AFECTA A MILES DE SITIOS WEB: Un vulnerabilidad crítica en React Server Components está siendo explotado activamente por múltiples grupos de amenazas, poniendo en riesgo inmediato a miles de sitios web — incluyendo plataformas de criptomonedas — con usuarios posiblemente viendo todos sus activos drenados, si se ven afectados. La falla, identificada como CVE-2025-55182 y apodada React2Shell, permite a los atacantes ejecutar código de forma remota en los servidores afectados sin necesidad de autenticación. Los mantenedores de React revelaron el problema el 3 de diciembre y le asignaron la puntuación de severidad más alta posible. Poco después de la divulgación, GTIG observó una explotación generalizada tanto por parte de criminales motivados financieramente como de grupos de hackers presuntamente respaldados por estados, que atacaron aplicaciones React y Next.js sin parchear en entornos en la nube. Los Componentes de Servidor de React se utilizan para ejecutar partes de una aplicación web directamente en un servidor en lugar de en el navegador del usuario. La vulnerabilidad proviene de cómo React decodifica las solicitudes entrantes a estas funciones del lado del servidor. En términos simples, los atacantes pueden enviar una solicitud web especialmente diseñada que engaña al servidor para que ejecute comandos arbitrarios, o, efectivamente, ceda el control del sistema al atacante. El fallo afecta a las versiones de React desde la 19.0 hasta la 19.2.0, incluyendo paquetes utilizados por frameworks populares como Next.js. El mero hecho de tener los paquetes vulnerables instalados suele ser suficiente para permitir la explotación.— Shaurya Malwa Leer más.

RIPPLE LLEGANDO A ETH L2S: Ripple, la empresa de blockchain enfocada en pagos y estrechamente relacionada con el XRP Ledger (XRP), está llevando su stablecoin respaldada en dólares estadounidenses a blockchains de capa 2 (L2) de Ethereum, incluyendo Optimism, Base de Coinbase, Ink de Kraken y Unichain de Uniswap, en un esfuerzo por integrar el token de $1.3 mil millones más profundamente en el ecosistema multichain. La compañía indicó que está comenzando con una fase de prueba antes de un despliegue más amplio esperado para el próximo año, sujeto a la aprobación regulatoria por parte del Departamento de Servicios Financieros de Nueva York (NYDFS). El piloto integra el estándar Native Token Transfers (NTT) de Wormhole, que permite que RLUSD se mueva de forma nativa entre cadenas sin necesidad de wrapping o activos sintéticos. Esto ayuda a mantener la liquidez y el control regulatorio mientras soporta una variedad de casos de uso de finanzas descentralizadas (DeFi) en redes optimizadas para velocidad y menores costos. Las stablecoins están creciendo rápidamente como una pieza clave de la infraestructura de finanzas digitales que conecta las finanzas tradicionales con la economía cripto. Representan una clase de criptomonedas de $300 mil millones, con precios vinculados a monedas fiduciarias como el dólar estadounidense. — Krisztian Sandor Leer más.

EL DEBATE SOBRE LA INTERFAZ DEL PROTOCOLO AAVE SE INTENSIFICA: Un debate dentro del DAO de Aave está planteando preguntas sobre quién controla la interfaz del protocolo y quién se beneficia financieramente de ella. El tema surgió después de que Aave Labs integrara el agregador de intercambio descentralizado CoWSwap en la interfaz app.aave.com a principios de este mes, reemplazando el enrutamiento anterior de Paraswap utilizado para los intercambios de colateral. Aunque el cambio se presentó como una mejora en la experiencia del usuario que ofrece una mejor ejecución y protección MEV, los delegados señalaron posteriormente que las tarifas relacionadas con los intercambios ya no fluían hacia el tesoro del DAO de Aave. Un carta abierta desde el delegado de Orbit EzR3aL argumentó que la integración introdujo tarifas frontales de aproximadamente 15 a 25 puntos base que se acumulan a un receptor externo en lugar de la DAO. Los datos on-chain citados en la publicación mostraron distribuciones semanales de ether vinculadas al mecanismo de tarifas para socios de CoWSwap a través de múltiples redes, lo que podría ascender a millones de dólares anualmente. Ese excedente ha disminuido desde entonces a medida que la enrutación se desplazó al modelo de subasta por lotes de CoWSwap, que prioriza la certeza de ejecución sobre la mejora del precio. Pero en el centro del debate está una distinción que Aave Labs dice que siempre ha existido: el protocolo frente al producto. En un respuesta en el foro, Aave Labs afirmó que la interfaz es operada, financiada y mantenida de manera independiente al protocolo gobernado por la DAO. Bajo este modelo, la DAO controla los parámetros en cadena, las tasas de interés y las tarifas a nivel de protocolo, mientras que Labs conserva la discreción sobre funciones opcionales a nivel de aplicación, como el enrutamiento de swaps y la monetización de la interfaz. “Cualquier monetización aplica únicamente a funciones accesorias”, escribió Aave Labs, argumentando que esta separación preserva la neutralidad del protocolo y evita la centralización del control económico en la capa base. Sin embargo, los críticos sostienen que la realidad práctica ha sido diferente. Marc Zeller, de la Aave Chan Initiative (ACI), dijo que existía una expectativa a largo plazo de que la monetización vinculada al frontend aave.com — incluyendo el excedente de swaps y la ejecución asistida por préstamos flash — beneficiaría a la DAO, especialmente considerando que la marca, la legitimidad del gobierno y gran parte del desarrollo subyacente fueron financiados por los poseedores de tokens. — Shaurya Malwa Leer más.

PUDGY PENGUINS TOMAN EL CONTROL DE LAS VEGAS: En su momento uno de los proyectos de tokens no fungibles (NFT) más destacados durante el auge criptográfico de 2021, Pudgy Penguins apuesta por la visibilidad en el mundo real con una ubicación publicitaria de alto perfil en el Sphere de Las Vegas durante la semana de Navidad. Solo unas pocas marcas relacionadas con las criptomonedas han asegurado espacio publicitario en el Sphere, un recinto masivo cubierto por LED conocido por sus pantallas inmersivas y actuaciones de artistas como U2 y Eagles. A activación centrada en bitcoin se llevó a cabo en julio, pero otros ejemplos han sido escasos. El anuncio de Pudgy Penguins se transmitirá durante varios días a partir del 24 de diciembre e incluirá múltiples segmentos animados, según una persona familiarizada con el acuerdo. La marca gastó aproximadamente $500,000 en la colocación, una cifra estándar para una campaña en el Sphere. “Es una forma de mostrar que un proyecto cripto puede ir más allá del ámbito cripto, tocando los corazones y las mentes de los consumidores cotidianos,” dijo Vedant Mangaldas, jefe de estrategia y marca en Pudgy Penguins, a CoinDesk. Añadió que el acuerdo fue posible porque el proyecto cuenta con un “negocio real” detrás. – Helene Braun Leer más.

En otras noticias

• Securitize ofrecerá lo que denomina la primera plataforma de trading onchain totalmente conforme para acciones públicas reales a principios de 2026, difuminando las líneas entre los mercados tradicionales y la infraestructura Web3. El sistema de la empresa permite a los inversores poseer directamente acciones tokenizadas de compañías públicas, emitidas y registradas onchain, y negociables a través de una interfaz basada en blockchain, según un anuncio. A diferencia de los modelos de tokens sintéticos que siguen los precios de las acciones a través de entidades en el extranjero o derivados, el enfoque de Securitize ofrece plena propiedad legal. Cada acción es emitida por la propia empresa y registrada en su tabla oficial de capitalización, indicó la firma. “Esto no es un rastreador de precios sintético ni un pagaré contra un custodio”, escribió Securitize en su anuncio. “Estas son acciones reales y reguladas: emitidas onchain, registradas directamente en la tabla de capitalización del emisor y negociables mediante una experiencia familiar de intercambio al estilo Web3.” Eso significa que los poseedores de tokens obtienen derechos reales de accionistas, incluidos dividendos y privilegios de voto, y sus activos están bajo autocustodia, sin intermediarios que rehypotequen las acciones entre bastidores. Sin embargo, los activos tienen permisos y solo pueden ser transferidos entre billeteras autorizadas y en lista blanca. — Francesco Rodrigues Leer más.
• El gigante de las tarjetas de crédito Visa (V) está lanzando la liquidación en USDC en Estados Unidos, permitiendo a los socios emisores y adquirentes saldar obligaciones con la red de tarjetas utilizando la stablecoin vinculada al dólar de Circle. Este movimiento marca la fase estadounidense de un programa de liquidación con stablecoins que ha alcanzado una tasa anualizada de 3,500 millones de dólares al 30 de noviembre, según un comunicado de prensa de Visa. La nueva opción está diseñada para ofrecer a bancos y fintechs movimientos de fondos casi instantáneos, liquidación los siete días de la semana y una liquidez más predecible durante fines de semana y feriados, manteniendo sin cambios la experiencia del consumidor con la tarjeta. — ¿Será Canny Leer más.

Regulación y Políticas

• La senadora estadounidense Elizabeth Warren ha solicitó otra investigación de seguridad nacional de EE. UU. en un rincón del sector criptográfico, especificando preocupaciones con PancakeSwap, un intercambio descentralizado que señaló como intentando amplificar monedas emitidas por World Liberty Financial Inc., vinculada al presidente Donald Trump. Ella dijo el intercambio, que opera en varias cadenas de bloques y es un protocolo importante en la cadena de Binance, debería ser revisado por su posible conexión con "cualquier influencia política indebida por parte de la Administración Trump en decisiones de aplicación", dijo Warren en una carta dirigida el lunes al Secretario del Tesoro Scott Bessent y a la Fiscal General Pam Bondi, solicitándoles que lo investiguen, haciendo eco de un solicitud similar en la que estuvo involucrada el mes pasado respecto a WLFI. “Mientras el Congreso considera la legislación sobre la estructura del mercado cripto, incluyendo normas para prevenir que terroristas, criminales y estados fallidos exploten las finanzas descentralizadas (DeFi) para financiar sus actividades, es fundamental entender si realmente están investigando estos riesgos,” escribió Warren, quien es el demócrata principal en el Comité Bancario del Senado que debe revisar la legislación y aprobarla antes de que el Senado en general pueda votar. — Jesse Hamilton Leer más.
• La Corporación Federal de Seguro de Depósitos de EE. UU. ha lanzado el primera propuesta oficial de regla derivado de la nueva ley que regula a los emisores de stablecoins, con su junta votando para abrir un período de comentarios públicos de 60 días sobre su sistema para manejar las solicitudes de sus bancos regulados que buscan emitir stablecoins desde subsidiarias. La agencia — dirigida por el Presidente Interino Travis Hill, quien también es el nominado del Presidente Donald Trump para el puesto permanente — recopilará comentarios y los revisará antes de poder publicar una regla final. El martes propuesta, aprobado por los tres miembros existentes de la junta, establecería los procedimientos para aceptar solicitudes, revisarlas dentro de un período de aprobación de 120 días y ofrecer un proceso de apelación para aquellos que sean rechazados. "Bajo la propuesta, la FDIC adoptaría un proceso de solicitud adaptado que permitiría a la FDIC evaluar la seguridad y solidez de las actividades propuestas por el solicitante basándose en los factores legales, al tiempo que minimizaría la carga regulatoria para los solicitantes," dijo Hill, cuya nominación podría ser confirmada tan pronto como esta semana por el Senado. La Ley de Orientación y Establecimiento de la Innovación Nacional para las Stablecoins de EE. UU. (GENIUS) fue la primera gran ley cripto aprobada por el Congreso, y estableció un complejo conjunto de reguladores para las empresas que deseen emitir stablecoins, los tokens vinculados al dólar vitales para las transacciones en el sector de activos digitales. Para las instituciones depositarias aseguradas, la FDIC es el regulador asignado. — Jesse Hamilton Leer más.

Calendario

• 10-12 de febrero de 2026: Consenso, Hong Kong
• 17-21 de febrero de 2026: EthDenver, Denver
• 30 de marzo - 2 de abril de 2026: EthCC, Cannes
• 15-16 de abril de 2026: Paris Blockchain Week, París
• 5-7 de mayo de 2026: Consenso, Miami