Hechos clave:
-
El protocolo admitió que el código de la bóveda no había sido auditado.
-
El atacante devolvió fondos a dos usuarios que suplicaron por sus ahorros.
Un atacante sustrajo seis millones de dólares de la plataforma Value DeFi, en el más reciente episodio de vulnerabilidad detectado en los llamados servicios de finanzas descentralizadas. El operador aprovechó las debilidades del sistema a través de operaciones de arbitraje. Tras el acto malicioso, el involucrado recibió súplicas de dos usuarios para que les devolvieran los fondos, algo que fue atendido en parte.
El reporte forense señaló que el usuario sacó provecho de la vulnerabilidad de la siguiente manera: efectuó un préstamo flash en la plataforma Aave por 80.000 ethers, unos 36 millones de dólares en ese momento. Los fondos los usó en parte para comprar 116 millones de DAI y 31 millones de Tether.
Posteriormente canjeó 25 millones de DAI por la stablecoin mvUSD, 91 millones de DAI por USDC y 31 millones de USDT por 17 millones de USDC. Las operaciones de canje sirvieron para alterar el precio y el método usado para los retiros en la bóveda que emplea Value DeFi.
La plataforma admitió que el código de la bóveda no había sido auditado y que el atacante se aprovechó de dos vulnerabilidades: «el depósito de usuarios en la bóveda no verificó (la existencia) de contratos inteligentes en la capa ‘Banco'».
La segunda vulnerabilidad estaría relacionada con la mala implementación de una función de convertibilidad implementada sin tener en cuenta un potencial ataque de préstamos rápidos, según se resaltó en el informe post-mortem.
Devolución de fondos y la seguridad de las DeFi
De acuerdo con información de Etherscan, el atacante devolvió 95.000 dólares en DAI a dos usuarios que suplicaron por sus fondos. Se trata de una enfermera y un joven de 19 años que dejaron mensajes de entrada en la blockchain de Ethereum, red base sobre la cual funcionan la mayoría de las DeFi.
La enfermera indicó que perdió 100.000 dólares en el ataque y que representaban todos los ahorros de su vida. El joven dijo que aprendió la lección tras perder 200.000 dólares, lo que le estaba generando un «problema» familiar ya que había recibido los fondos para obtener un «alto rendimiento».
El atacante respondió diciendo: «No espero recibir su dinero, pero como hemos visto, hay mucha gente aquí que carece de conocimiento y precaución, y tarde o temprano ese dinero se perderá. Algunas heridas son dolorosas, pero muy efectivas. Respeto mucho su trabajo, que tenga un buen día».
Para mitigar las pérdidas, Value DeFi propuso crear un plan de compensación que tendrá financiación mixta para restaurar los fondos sustraídos por el atacante. La iniciativa recibiría recursos del fondo de desarrollo, fondo de seguro y una parte de los honorarios que actualmente genera el protocolo.
Lo sucedido generó que la cotización del token VALUE se desplomara más de un 25% pasando de 2,79 dólares por unidad, el pasado viernes, a USD 1,90 el sábado. Al momento de publicar este artículo su precio es de 2,03 dólares, según métricas de CoinGecko.
«Las futuras liberaciones de las bóvedas permanecerán sólo en el código auditado (v1) y las v2 (no auditada) sólo serán liberadas después de ser fuertemente auditada por auditores públicos y por desarrolladores de solidez pública», explicó la plataforma.
Los ataques a los protocolos DeFi han sido recurrentes durante el último año. Los operadores maliciosos aprovechan en pocos minutos las debilidades expuestas de estos servicios de finanzas descentralizadas. La situación de Value DeFi se produjo sólo dos días después que otro servicio, el de Akropolis, sufriera pérdidas por 2 millones de DAI.
De acuerdo con un reporte difundido por CriptoNoticias la semana pasada, en el 2020 han ocurrido menos delitos con criptomonedas, pero más hackeos en las DeFi. Según la firma CipherTrace, los atacantes se han hecho con 98 millones de dólares en lo que va de 2020 al vulnerar los servicios de este tipo.
Uno de los casos más sonados recientemente fue el del protocolo DeFi Harvest. El operador malicioso sustrajo 24 millones de dólares tras obtener un préstamo flash por 50 millones de dólares en Uniswap y realizar transacciones en USDC y Tether (USDT), lo que derivó en oscilaciones de precio que fueron explotadas.
