-
Los prรฉstamos flash y los ataques de reentrada estรกn entre las tรฉcnicas mรกs usadas.
-
Muchas de estas plataformas estaban auditadas al momento de sufrir el robo.
2020, aรฑo que todos recordarรกn por el COVID-19 y sus consecuencias, tendrรก tambiรฉn una connotaciรณn especial para aquellos que estรกn inmersos en el mundillo de las criptomonedas. Aunque durante el รบltimo mes el precio de bitcoin (BTC) se llevรณ el protagonismo por alcanzar y superar mรกximos histรณricos, otra cosa que marcรณ a este aรฑo fue la gran expansiรณn de los protocolos de finanzas descentralizadas (DeFi, por sus siglas en inglรฉs).
El afรกn por lanzar rรกpidamente nuevos servicios DeFi superรณ, en ocasiones, la velocidad con la que trabajan auditores y responsables de seguridad. Muchas de estas plataformas, incluso algunas que recibieron auditorรญas, vieron vulneradas sus barreras de protecciรณn y los fondos depositados en sus contratos inteligentes pasaron a manos de quienes supieron aprovechar las falencias en el cรณdigo.
A continuaciรณn, se presentan los 10 mayores robos a plataformas DeFi ocurridos durante este aรฑo:
Opyn (USD 361.260)
Fue el 4 de agosto de 2020 cuando los usuarios de Opyn se enteraron que una vulnerabilidad de los contratos ETH Put habรญa sido explotada. El error de cรณdigo le permitรญa al atacante realizar un doble gasto de tokens para opciones (denominados oTokens) y apropiarse indebidamente de los colaterales depositados por algunos vendedores de esas รณrdenes.
361.260 unidades de la criptomoneda USD Coin (USDC), que mantiene paridad en su precio con el dรณlar estadounidense, fueron robadas. Por ser un protocolo no permisionado y descentralizado, los administradores, liderados por el fundador de la plataforma, Zubin Singh Koticha, no pudieron bloquear el acceso a los contratos luego de que la vulnerabilidad fuera detectada.
Con el fin de mitigar las pรฉrdidas, lo que hicieron fue retirar inmediatamente la liquidez que habรญan depositado en los pools del exchange descentralizado Uniswap. Asรญ evitaron la rรกpida devaluaciรณn de los tokens, que ofrecieron comprรกrselos a sus poseedores a un precio 20% por encima del valor de mercado.
Actualmente Opyn sigue en funcionamiento. Entre otras cosas, asegura brindar protecciรณn contra hackeos a contratos inteligentes.
Balancer (USD 450.000)
El exchange descentralizado Balancer estรก en el ยซTop 10ยป de la reconocida pรกgina web informativa DeFiPulse. Pero ser una de las plataformas mรกs conocidas y utilizadas no es garantรญa de seguridad.
Un atacante, que supo utilizar un contrato inteligente para automatizar mรบltiples acciones en una sola transacciรณn, logrรณ extraer el equivalente a USD 450.000 en los tokens Wrapped Bitcoin (WBTC), Synthetix (SNX) y Chainlink (LINK). Vaciรณ por completo los pools de liquidez de Balancer que los contenรญan. El hecho ocurriรณ en junio de 2020.
El hacker se valiรณ de prรฉstamos relรกmpagos (flash loans) del exchange descentralizado dYdX, para conseguir el token Wrapped Ether (WETH), que luego cambiaba por el token STA.
Debido a que Balancer tiene un modelo con comisiones de transferencia de 1% cobradas al receptor, cada vez que el atacante cambiaba WETH por STA, el pool de Balancer recibรญa 1% menos y reducรญa asรญ su liquidez. Cuando la liquidez era cercana a cero, el precio de STA se incrementรณ en gran manera y el atacante lo utilizรณ para adquirir otros WBTC, SNX y LINK en el pool a muy bajo precio.
Mike McDonald, cofundador de Balancer admitiรณ no estar consciente de que un ataque asรญ era posible. Como medida preventiva incorporaron una lista negra en la que incluyeron a los tokens con comisiones de transferencia y auditaron nuevamente su plataforma.
Akropolis (USD 2.000.000)
El 12 de noviembre de 2020, los proveedores de liquidez de la plataforma Akropolis recibieron la noticia de que 2.000.000 de DAI (equivalentes a la misma cantidad de dรณlares estadounidenses) fueron sustraรญdos del pool YCurve-SUSD.
El robo se efectuรณ mediante la combinaciรณn de un ataque de reentrada y un prรฉstamo flash en la plataforma dYdX. Tal como lo definiรณ CriptoNoticias, se denomina ataque de reentrada cuando se logra llamar repetidas veces a una misma funciรณn en un contrato inteligente antes de que funciones anteriores terminen de ejecutarse.
El atacante logrรณ retirar varias veces la criptomoneda. Cuando el contrato inteligente ยซse dio cuentaยป de que ya no quedaba saldo, era demasiado tarde.
Aunque la plataforma estaba auditada, esa vulnerabilidad no habรญa sido detectada durante la inspecciรณn de cรณdigo. La empresa auditora, CertiK, es la misma que auditรณ bZx, protocolo de prรฉstamos que tambiรฉn estรก incluido en este listado.
Value DeFi (USD 6.000.000)
Aunque el robo de USD 6.000.000 de la plataforma Value DeFi no fue el mรกs grande del aรฑo, probablemente sรญ sea el mรกs llamativo. Es que el hacker se compadeciรณ de las sรบplicas de dos vรญctimas y les devolviรณ parte del botรญn.
Mรกs precisamente, los beneficiarios del retorno fueron una enfermera que perdiรณ USD 100.000 (los ahorros de toda su vida, segรบn dijo) y un joven de 19 aรฑos que asegurรณ que la pรฉrdida de USD 200.000 le estaba generando problemas familiares. De todos modos, el dinero devuelto fue de solo 95.000 DAI entre los dos.
El robo se produjo a mediados de noviembre. El atacante efectuรณ un prรฉstamo flash en la plataforma Aave por 80.000 ethers (ETH), unos USD 36 millones en ese momento. Los utilizรณ en parte para comprar 116 millones de DAI y 31 millones de USDT.
Luego canjeรณ 25 millones de DAI por la stablecoin mvUSD, 91 millones de DAI por USDC y 31 millones de USDT por 17 millones de USDC. Estas operaciones inusuales, debidamente planificadas por el hacker, alteraron los precios y mรฉtodos de retiro en la bรณveda del protocolo DeFi, que no habรญa sido auditado.
Origin (USD 7.000.000)
Al igual que en el ya mencionado caso de Akropolis, un ataque de reentrada fue lo que le permitiรณ a un atacante apoderarse de USD 7.000.000 de Origin, un proyecto de stablecoin. De ese monto, USD 1 millรณn era dinero depositado por los fundadores y empleados de la compaรฑรญa, que habรญan creรญdo e invertido en el proyecto.
El hacker logrรณ inflar de forma artificial el suministro del token, para cambiar los tokens reciรฉn emitidos por USD Tether en los exchanges descentralizados Uniswap y Sushi Swap. Tras el ataque, el token Origin Dollar (OUSD) pensado para valer siempre USD 1, no resistiรณ y su precio se desplomรณ un 85% horas mรกs tarde.
El hecho, que ocurriรณ el 17 de noviembre no impidiรณ que el proyecto continรบe su curso. Origin, segรบn sus desarrolladores, es ยซla primera stablecoin que obtiene un rendimiento mientras aรบn estรก en su monederoยป. Al momento de redacciรณn de este artรญculo, el rendimiento anual es del 0,00 %, segรบn puede verse en su sitio web.
Warp Finance (USD 7.700.000)
El ataque a Warp Finance es el mรกs reciente de los presentados en esta selecciรณn. Ocurriรณ el jueves 17 de diciembre, apenas un dรญa despuรฉs de que se habilitara el soporte para prรฉstamos en esta plataforma.
El operador malicioso pidiรณ un prรฉstamo flash que superaba los fondos disponibles en garantรญa y eso derivรณ en la pรฉrdida de USD 7.700.000 en las stablecoins DAI y USDC. El atacante habrรญa realizado la operaciรณn sin ningรบn tipo de impedimentos ni inconvenientes.
El equipo detrรกs de Warp Finance prometiรณ un plan de compensaciรณn completo a las vรญctimas, que deberรญa completarse antes de que culmine el aรฑo 2020. Esto incluye la emisiรณn y entrega de un nuevo token (IOU) que serรญa usado en caso de que no se logre reponer la totalidad de los DAI y USDC. No se informรณ cuรกl serรญa el valor de ese token, si se trata de otra stablecoin o si quedarรก sujeto a las decisiones de oferentes y demandantes.
bZx (USD 8.000.000)
El tercer ataque que sufriรณ bZx durante el aรฑo, a mediados de septiembre, le costรณ la pรฉrdida del equivalente a USD 8.000.000, lo que representaba el 30 % de los fondos depositados en sus contratos inteligentes.
Pero, para tranquilidad de los usuarios que seguรญan confiando en bZx a pesar de su historial, sus fondos no se encontraron en riesgo en esta ocasiรณn. Los atacantes no fueron directamente por el dinero de los usuarios, sino que utilizaron vulnerabilidades de la plataforma para generar ยซdinero artificialยป.
Mediante la funciรณn _internalTransferForm() de los contratos inteligentes de ese protocolo, que poseรญa un error, los usuarios podรญan aumentar su saldo artificialmente para duplicar sus tokens y luego intercambiarlos por otros.
Segรบn bZx, sus contratos inteligentes habรญan sido auditados en varias ocasiones antes de este hackeo. Este es un claro ejemplo de que las auditorรญas no son necesariamente una garantรญa de seguridad en este tipo de plataformas.
Pickle Finance (USD 20.000.000)
ยซHay informes de que nuestra estrategia DAI PickleJar ha sido explotada. Estamos investigando activamente este asunto y proporcionaremos mรกs actualizacionesยป. Con este mensaje en Twitter, el 21 de noviembre quienes tenรญan criptomonedas depositadas en Pickle Finance se enteraron de que algo no andaba bien.
Efectivamente, un hacker supo aprovechar vulnerabilidades del protocolo (auditado dos veces de forma independiente) para robar, mediante un ataque de reentrada, 20 millones de DAI.
Quienes no sufrieron la pรฉrdida directamente, de todos modos se vieron afectados, porque el precio del token de gobernanza Pickle cayรณ un 50% en 24 horas.
El reconocido bitcoiner y cofundador de Morgan Creek Digital, Anthony Pompliano expresรณ su opiniรณn sobre el hecho: ยซยฟAlguien estรก sorprendido en este punto? La mayorรญa de estos proyectos DeFi no tienen auditorรญas, no tienen una verdadera gobernanza y no estรกn descentralizadosยป. Agregรณ que parece ser un ยซICO 2.0ยป, al comparar la ยซDeFi-manรญaยป de 2020 con la gran expansiรณn que las ofertas iniciales de moneda (ICO, por sus siglas en inglรฉs) tuvieron en 2017.
Harvest Finance (USD 24.000.000)
El 26 de octubre de 2020, el protocolo Harvest Finance fue hackeado y, en solo 7 minutos se extrajeron USD 24.000.000 en criptomonedas de sus pools de liquidez.
El equipo de desarrolladores de este protocolo, que trabaja desde el anonimato, comunicรณ que el ataque se produjo mediante prรฉstamos flash. El autor del hecho estudiรณ las vulnerabilidades en el cรณdigo y logrรณ manipular los precios con el fin de drenar la liquidez del pool.
Tras el hecho, el precio del token de gobernanza FARM cayรณ un 65% en 24 horas. Este protocolo, aunque no es un fork, se asemeja bastante a Yearn Finance.
Lendf.me (USD 25.000.000)
El puesto nรบmero 1 de los hackeos en DeFi durante 2020 es para Lendf.me. El 18 de abril esta plataforma china de prรฉstamos sufriรณ un ataque en el cual fueron sustraรญdas criptomonedas por el equivalente a USD 25.000.000.
Tal como informรณ CriptoNoticias, el robo tendrรญa relaciรณn con una vulnerabilidad en el estรกndar ERC-777 de Ethereum. La falla se originรณ tras la integraciรณn de Lendf.me con imBTC, un token de Ethereum que mantiene paridad con bitcoin y que usa ese estรกndar como garantรญa.
La vulnerabilidad les permitiรณ a los delincuentes efectuar los ya mencionados ataques de reentrada. Mediante esta tรฉcnica retiraron fondos de los pools de liquidez antes de que se produjera una actualizaciรณn en el balance general.
La plataforma actualmente estรก dada de baja, el dominio Lendf.me estรก en venta y las redes sociales de este protocolo estรกn abandonadas sin actualizaciones desde junio.
Para curiosos y ambiciosos
Estos 10 ejemplos muestran el estado general de muchos protocolos de finanzas descentralizadas. El afรกn de obtener ganancias con porcentajes de rendimiento anuales astronรณmicos, en ocasiones hace olvidar a los inversionistas esa regla del sentido comรบn que reza: ยซsi algo es demasiado bueno para ser cierto, probablemente no lo seaยป.
Es posible que la innovaciรณn en DeFi otorgue numerosos beneficios a los usuarios de criptomonedas y a la comunidad en general. Muchas personas desbancarizadas podrรญan beneficiarse del acceso a servicios financieros. Ademรกs, podrรญan evitarse demoras innecesarias y el pago de comisiones prescindibles. Pero todavรญa queda mucho camino por recorrer.
Para los curiosos y ambiciosos que no se amedrentan con los ejemplos aquรญ brindados y que igualmente pondrรกn sus criptomonedas en los protocolos DeFi que seguirรกn brotando por doquier, no estรก de mรกs un recordatorio: jamรกs invertir mรกs dinero del que se estรฉ dispuesto a perder.