Financiación inversa de DeFi Lender explotada por $15,6M

El prestamista DeFi Inverse Finance alegó que había sido explotado por una suma de $15,6 millones de DAI y USDC en un anuncio el miércoles 26 de mayo. El anuncio afirmaba que las reservas de liquidez del protocolo para ETH/USDC y ETH/DAI habían sido drenadas por un atacante desconocido en el bloque 12172943.

El protocolo todavía está investigando la causa del hackeo, pero a partir de su análisis inicial sospecha que el atacante explotó los préstamos flash y las oportunidades de arbitraje para drenar los fondos de ambas reservas. El ataque parece haberse ejecutado a través de transacciones únicas en múltiples intercambios, en lugar de transferir fondos entre carteras. También es posible que se descubra otra vulnerabilidad de seguridad a medida que continúe la investigación, lo que podría llevar a que se comprometan más fondos.

Finanzas inversas es un protocolo de préstamo financiero descentralizado (DeFi) que permite a los usuarios bloquear sus criptoactivos como garantía a cambio de un préstamo con intereses. El proyecto recientemente lanzado fue explotado en la noche del 13 de octubre, cuando los hackers comenzaron a drenar los fondos de los contratos en los que se basa la plataforma.

Inverse Finance es uno de los varios proyectos de DeFi que han sufrido hackeos en los últimos meses, que han robado colectivamente cientos de millones de dólares en criptodivisas.

Los atacantes pudieron hacerse con el control de la clave privada del monedero de Ethereum de Inverse Finance y drenar todos los fondos moviéndolos a través de una serie de transacciones.

La clave privada se utiliza para firmar las transacciones que se originan en el monedero. Cuando los atacantes lograron hacerse con el control de la clave privada, pudieron drenar todos los fondos moviéndolos a través de una serie de transacciones.

Inverse Finance anunció hoy en Twitter que había sido explotado con éxito para todos los fondos, incluyendo $15,6 millones en USDC, $1 millones en DAI, y $465.000 en ETH.

Inverse Finance, un servicio de préstamos DeFi que ofrece intereses sobre los depósitos de USDC, ha anunciado hoy en Twitter que se han explotado con éxito todos los fondos, incluyendo $15,6 millones en USDC, $1 millones en DAI y $465.000 en ETH.

El ataque se basaba en un sellado de tiempo defectuoso de los bloques de Ethereum. Se alega que el atacante fue capaz de manipular esta marca de tiempo para insertar transacciones falsas en el blockchain historial en un momento anterior, lo que les permitía retirar fondos de Inverse como si hubieran sido depositados en una fecha anterior a la que lo fueron. Esto significaba que el atacante podía retirar la garantía en dólares de las bóvedas de Inverse antes de que se realizara cualquier depósito.

El fundador y desarrollador principal de Inverse, Roman Storm, habría descubierto el fallo el 2 de septiembre de 2020, pero no lo comunicó públicamente hasta el 4 de septiembre de 2020 a través de su cuenta personal de Twitter, tras perder todos los fondos que tenía la plataforma. El exploit afectó a más de 20 aplicaciones y protocolos basados en Ethereum, incluyendo Balancer Labs y Curve Finance, según Storm. En el momento de escribir este artículo no hay planes por parte de las partes implicadas o de los desarrolladores para deshacer las transacciones.

El jefe de finanzas del agregador DeFi Yearn.finance había advertido de la peculiar actividad en torno a los protocolos de Inverse Finance sólo unas horas antes de que se produjera el ataque.

Después de este informe, un usuario de Twitter @rektcapital informó de que había depositado $60.000 en una cámara acorazada de Inverse Finance y la había bloqueado durante tres días. Después de hacerlo, pudo retirar más de $580.000 en activos.

DeFi Inverse Finance era un protocolo insolvente, ya que su token nativo IFV se negociaba a menos de un céntimo, pero con cantidades sustanciales de fondos bloqueados en su plataforma. La oferta en circulación era de más de $3 mil millones de tokens IFV.

El protocolo de Inverse Finance era esencialmente insolvente, ya que su token nativo IFV, que sustenta la gobernanza y las operaciones de la plataforma, cotizaba a menos de un céntimo en Uniswap. Aun así, los usuarios habían bloqueado grandes cantidades de fondos en el protocolo; según los datos de DeFi Pulse, Inverse Finance tenía $182 millones de valor total bloqueado en el momento de su pirateo.

A medida que los usuarios se apresuraron a retirar fondos de las claves privadas de sus respectivos monederos tras el hackeo, también vendieron todos los tokens IFV, con un suministro en circulación por valor de más de $3 mil millones que cambiaron de manos a las pocas horas de ser notificados los usuarios.

Al cierre de esta edición, Inverse Finance seguía fuera de línea. Una cuestión clave que surge de este hackeo es la seguridad de los fondos si se transfieren a otros protocolos DeFi. Otras cuestiones son si los fondos se devolverán o no y qué papel desempeñarán los intercambios descentralizados en el restablecimiento de la financiación.

Varios usuarios en las redes sociales también han planteado preguntas sobre las prácticas y protocolos de seguridad de Inverse Finance, especialmente a la luz de la naturaleza descentralizada de su estructura de gobierno. Por ejemplo, varios usuarios alegaron que el vector de ataque se debía a una vulnerabilidad encontrada en enero de 2021 que se comunicó a Inverse Finance pero que finalmente no se solucionó.

Inverse Finance dijo que está tomando medidas legales contra el atacante y trabajando con las autoridades pertinentes para recuperar los fondos de los intercambios de criptodivisas a los que se enviaron los activos robados:

"Nos estamos tomando esto muy en serio, y les aseguramos que no estamos escatimando en gastos para asegurarnos de que este atacante rinda cuentas".

Una vulnerabilidad en DeFi condujo a un exploit

La explotación fue posible gracias a una vulnerabilidad de los contratos inteligentes. No es la primera vez que se explota un contrato inteligente, pero este ataque fue especialmente exitoso.

Los contratos inteligentes no son exclusivos de DeFi. También se han utilizado en otras aplicaciones de blockchain, incluido uno de los proyectos más populares de Ethereum: CryptoKitties.

Un contrato inteligente es un conjunto de reglas que detalla cómo y cuándo se produce una acción en una red blockchain. Una vez escrito, no puede ser modificado a menos que se alcance un consenso entre todos los nodos de esa red blockchain. Debido a su inmutabilidad, se espera que los contratos inteligentes sean seguros e inmutables; sin embargo, hay muchos casos en los que se explotaron vulnerabilidades debido a un código no robusto o incompleto.

Para evitar que las vulnerabilidades vuelvan a ser explotadas de esta manera, es importante que los desarrolladores de DeFi aprendan a escribir un buen código solidity (el lenguaje utilizado para escribir contratos inteligentes) y lo prueben a fondo antes de desplegarlo en cualquier red blockchain.

Relacionado

es_ESSpanish