Hechos clave:
-
El operador malicioso siguió un patrón de transacciones para el ataque.
-
La cotización de YFI en el mercado cayó hasta los 30.231 dólares por unidad.
El proyecto para las finanzas descentralizadas (DeFi), Yearn Finance, fue atacado este jueves 4 de febrero dejando como saldo unos 11 millones de dólares en pérdidas. El atacante utilizó un patrón de transacciones desde distintas plataformas para explotar la vulnerabilidad y sustraer los fondos.
Yearn Finance notificó lo ocurrido a través de un mensaje en Twitter al decir: «Hemos notado que la bóveda v1 yDAI ha sufrido un ataque. El ataque ha sido mitigado. Informe completo a seguir». El servicio no ha ofrecido más detalles técnicos sobre lo ocurrido, sin embargo, el analista Igor Igamberdiev, reveló cuál fue el modus operandi del operador malicioso.
Para el investigador de The Block, el atacante logró una «ganancia» personal de 2,8 millones de dólares en criptoactivos que incluyen: 513.000 DAI, 1,7 millones de USDT y 506.000 3CRV. El ataque inició con dos préstamos rápidos: uno por 116.000 ethers (ETH) en dYdX y otro por 99.000 ETH en Aave.
Seguidamente, el operador utilizó los fondos como garantía para pedir prestado 134 millones de USDC y 129 millones de DAI en la plataforma Compound. Añadió los 134 millones de USDC y 36 millones de DAI al pool de 3crv Curve, para luego retirar 165 millones en USDT. De acuerdo con Igamberdiev este proceso lo repitió al menos cinco veces.
Una vez completada esta parte, el usuario envió los 93 millones de DAI pendientes a la bóveda yDAI y luego añadió 165 millones de USDT al pool de 3crv. Posteriormente, y luego de obtener fondos, ejecutó dos retiros: el primero por 92 millones de DAI desde la bóveda yDAI y el segundo por 165 millones de USDT desde el pool de 3crv. Para pagar los préstamos rápidos y la deuda con Compound retiró 39 millones de DAI y 134 millones de USDC en lugar de USDT.
«Cada vez el atacante tenía más tokens 3crv que luego pudo cambiar por las stablecoins. Es curioso cómo se han utilizado tantos préstamos flash», añadió Igamberdiev en el hilo publicado en Twitter sobre la situación con la DeFi.
DeFi vulnerada y reacción del mercado
El fundador y CEO de Aave, Stani Kulechov, también comentó sobre lo ocurrido y dijo que se trató de una vulnerabilidad compleja con más de 160 transacciones. El patrón permitió manipular los precios para hacerse con la «ganancia» mencionada anteriormente.
La vulnerabilidad afectó el precio de YFI en el mercado de criptomonedas. De acuerdo con registros de CoinMarketCap, la cotización del criptoactivo antes del ataque era de 34.600 dólares. La valoración luego cayó a 30.230 dólares por unidad, no obstante, el precio se estabilizó durante la mañana del viernes sobre los USD 32.185.
Las investigaciones están en marcha, pero mientras tanto el desarrollador de la plataforma, @bantg, informó que los depósitos en la bóveda para DAI, TUSD, USDC y USDT fueron suspendidos temporalmente.
Las plataformas para las finanzas descentralizadas usualmente son atacadas por operadores maliciosos para afectar el precio de los criptoactivos y sacar provecho de las fluctuaciones que se generan. CriptoNoticias ha reportado en el pasado múltiples situaciones de este tipo, lo que le estaría arruinando la fiesta a las DeFi.
