-
La firma Blockaid detectó que los fondos sustraídos ya fueron movidos a Tornado Cash.
-
Pese al exploit, el token nativo EDEL subió más de 7% en las últimas 24 horas.
El equipo de la plataforma Edel Finance confirmó el 1 de julio un hackeo que afectó el precio de las acciones tokenizadas de Google en Edel Lending V1, el módulo de préstamos de la plataforma que opera ese tipo de activos. De acuerdo con reportes de firmas de seguridad, el exploit dejó al protocolo con 403.000 dólares en deuda incobrable y, de ese total, el atacante se quedó finalmente con unos USD 305.000 de ganancia neta.
La deuda incobrable forma parte de dinero dado en préstamo pero que ya no se puede recuperar. En este caso, el atacante usó como garantía un activo cuyo valor ya había inflado de forma artificial previamente para pedir un préstamo.
La firma GoPlus Security precisó que, con la garantía inflada, el atacante pidió prestados 384.215 dólares en USDC, además de distintas cantidades de acciones tokenizadas de los índices S&P 500 y Nasdaq-100 (QQQ), y de las empresas Strategy, NVIDIA y Tesla, todas ellas representadas dentro de Edel Lending mediante sus versiones envueltas. GoPlus Security calculó que, tras devolver el préstamo, la ganancia neta del atacante fue de aproximadamente 305.000 dólares.
Por otro lado, y a pesar del hackeo, el token EDEL, la moneda nativa de la plataforma, subió más de 7% en las últimas 24 horas y acumula una suba de casi 18% en la última semana. Edel Finance es una plataforma que funciona principalmente en la red Canton y en cadenas compatibles con la Máquina Virtual de Ethereum (EVM).

¿Cómo ocurrió el exploit?
El ataque ocurrió a nivel de los contratos inteligentes que sostienen Edel Lending. Según la firma Blockaid, el atacante desplegó contratos propios para ejecutar la maniobra, financiada con un préstamo instantáneo (flash loan, en inglés), un crédito que se solicita y se devuelve dentro del mismo bloque que confirma la transacción y que solo puede ejecutarse mediante ese tipo de contratos.
GoPlus Security detalló que, con suministros y préstamos repetidos dentro de esa transacción, el hacker manipuló la tasa de cambio entre wGOOGLx y GOOGLx, dos versiones del mismo activo dentro de la familia xStocks (acciones tradicionales representadas digitalmente dentro de un protocolo) que Edel Finance utiliza como garantía. GOOGLx es el token que sigue el precio de la acción de Google, mientras que wGOOGLx es su versión envuelta, adaptada para circular dentro de Edel Lending. Esa manipulación elevó el valor de wGOOGLx a unas 78 veces su valor real, según el propio comunicado de Edel Finance.
La respuesta de Edel Finance y la duda sobre los fondos restantes
Conforme al reporte de Edel Finance, el equipo pausó todos los contratos de la versión V1 de la plataforma de forma inmediata tras detectar el ataque y preservó los registros del protocolo para determinar los balances afectados. El comunicado no detalla qué mecanismo técnico permitió identificar el exploit ni cuánto tiempo transcurrió entre el inicio de la maniobra y la pausa de los contratos.
Edel Finance afirmó que ningún depositante sufrirá pérdidas y que el equipo absorberá la deuda incobrable para restituir los balances afectados de forma equivalente al monto original.
Desde la plataforma también aseguran haber extendido una oferta de acuerdo whitehat (una propuesta que ofrece a quien ejecutó el ataque una recompensa autorizada a cambio de devolver los fondos restantes) a la persona responsable del exploit. Blockaid, sin embargo, comprobó que los fondos sustraídos ya fueron movidos a Tornado Cash, un protocolo que mezcla el origen y el destino de las transacciones y dificulta su rastreo.

El equipo de Edel anunció además el desarrollo de Edel Lending V2, una nueva versión con una arquitectura de oráculo (el mecanismo que provee a un protocolo el precio de mercado de un activo) rediseñada para evitar este tipo de manipulación de tasas de cambio. Edel Finance no especificó en qué consiste ese rediseño ni cuándo estará disponible, y tampoco fijó una fecha para restituir los balances afectados. El comunicado vinculó el incidente con EIP-01, una propuesta que introduciría gobernanza sobre los parámetros de riesgo y los activos admitidos como garantía en la plataforma, aunque tampoco detalló su cronograma de implementación.
Finalmente, Edel Finance dijo que continuará informando a los usuarios hasta completar la restitución de los balances afectados, sin precisar una fecha.









