Hechos clave:
-
El robo combinó un ataque de reentrada y un préstamo flash en dYdX.
-
La dirección del hacker está identificada y señalada con una advertencia en EtherScan.
Hackers lograron explotar una vulnerabilidad en la plataforma de finanzas descentralizadas (DeFi, por sus siglas en inglés) Akropolis. Esto les permitió robar cerca de 2 millones de la stablecoin DAI, que mantiene paridad en su precio con el dólar estadounidense.
Según un comunicado de la compañía Akropolis Decentralised, con sede en Gibraltar, la mayoría de los fondos de la plataforma están a salvo. Los 2 millones de DAI robados estaban en los pools de liquidez YCurve y Susd. El resto de los pools no fueron vulnerados.
La dirección de Ethereum a la que enviaron los 2 millones de DAI está identificada: 0x9f26ae5cd245bfeeb5926d61497550f79d9c6c1c. El explorador EtherScan advierte sobre ella: “Hay informes de que está dirección se utilizó en el hack de Akropolis. Tenga cuidado al interactuar con esta dirección”.
Cómo fue el ataque a Akropolis
Ante la pregunta de un usuario en Twitter, la CEO de Akropolis, Anastasia Andrianova, negó que el ataque fuera similar al que sufrió recientemente la plataforma Harvest Finance. Por el contrario, el robo de Akropolis se produjo mediante la combinación de un ataque de reentrada y un préstamo flash en la plataforma dYdX.
Un ataque de reentrada se ocasiona cuando el atacante logra llamar repetidas veces a una misma función en un contrato inteligente antes de que funciones anteriores terminen de ejecutarse. Esto le brinda la posibilidad de retirar varias veces la criptomoneda antes de que el contrato se “dé cuenta” de que no queda saldo.
La plataforma DeFi estaba auditada pero no se detectó esta vulnerabilidad
A pesar de que los pools habían sido auditados, no se habían detectado los vectores de ataque que se utilizaron en este robo. Una de las empresas auditoras, CertiK, es la misma que auditó el protocolo DeFi de préstamos bZx, que, tal como informó CriptoNoticias, fue atacado tres veces durante el transcurso de 2020.
“El equipo de Akropolis está trabajando actualmente en una serie de procedimientos de seguridad”, informaron. Además, aseguran estar en proceso de explorar formas de restituir el dinero a los usuarios de una forma que sea sostenible para el proyecto. “Haremos una propuesta a la comunidad antes de que se tome cualquier decisión final”, explicaron.
Por el momento, y por tiempo indefinido, todos los pools de Akropolis se encuentran pausados. Esto significa que no se puede ingresar ni retirar criptomonedas de ellos.
De acuerdo con datos proporcionados por la compañía CipherTrace, en 2020 disminuyeron un 60% las pérdidas totales de criptomonedas por hackeos y fraudes. Aun así, aumentaron un 30% con respecto al año pasado los robos a plataformas DeFi.
