Hechos clave:
-
Un experto en seguridad informático describió el bug “simple” en Twitter.
-
Las auditorías de la plataforma podrían haber detectado el problema, según el especialista.
La plataforma de DeFi Popsicle Finance, una market maker o ‘creadora de mercado’ descentralizada, sufrió un hackeo que produjo la pérdida de aproximadamente USD 20,7 millones. Los malhechores aprovecharon una vulnerabilidad en el código que distribuía ganancias y recompensas a los usuarios. Popsicle ofrece una recompensa de un millón de dólares al hacker para reponer los fondos y «evitar espantar a la gente».
Según el twittero Mudit Gupta, quien hizo un reporte extraoficial en un hilo en esa red social, el «hackeo fue complejo, pero el bug era simple». De acuerdo con este experto en seguridad y en Ethereum —tal y como se presenta en su perfil—, el exploit fue posible gracias a una actualización en el código «token0PerSharePaid» que Popsicle utiliza cuando un usuario deposita tokens en la plataforma. Este código permite registrar en el contrato inteligente el momento en el que se realiza el depósito para el posterior pago de recompensas.
Las variables de este código, dice Gupta, no se actualizan cuando un usuario lleva sus ganancias (shares) a otra dirección. Esto permite que la nueva dirección reclame recompensas desde «el día 0», en lugar de hacerlo desde el momento en el que el usuario depositó sus tokens. Esto es lo que hizo el hacker, contó el twittero, para robar USD 20,7 millones que constituyen el «85% de los pools Sorbetto Fragola», detalló Popsicle en una publicación en Medium.
Entre las criptomonedas robadas, destacan 5 millones de Tether (USDT) y la misma cantidad de USD Coin (USDC), además de 160.000 DAI (DAI). La recompensa que ofrece la plataforma al hacker se pagaría «en la criptomoneda que desee», en caso de devolver los fondos.
Por otra parte, este bug también permite a un usuario seguir transfiriendo ganancias y reclamar recompensas por ellas varias veces si usa diferentes cuentas. Según Gupta, este es un bug «relativamente sencillo, pero es sorprendentemente corriente».
En última instancia, el informático cerró su explicación comentando que los auditores de Popsicle Finance (PeckShield y Certik) deberían haber detectado estos problemas en sus revisiones, aunque admitió que «son humanos» y pueden fallar. El hash de la transacción maliciosa se puede encontrar en el sitio Etherscan.
Las plataformas DeFi, un blanco recurrente
Los sitios que brindan servicios de finanzas descentralizadas han sido víctimas de numerosos hackeos durante 2020 y 2021. Este año, uno de los ataques más importantes que se dio en este tipo de plataformas —y con la misma modalidad que en el caso de Popsicle Finance— fue el de Pancake Bunny. En esa ocasión, como reportó CriptoNoticias, el monto robado llegó a USD 45 millones.
No obstante, las metodologías para perpetrar este tipo de delitos no siempre se relacionan con la informática «pura y dura». Por ejemplo, hace unos días la Comisión de Bolsa y Valores de Estados Unidos logró clausurar las operaciones de una empresa que se presentaba como prestadora de servicios de finanzas descentralizadas, aunque en realidad tenía el único propósito de estafar a sus inversionistas y clientes con retornos que nunca se generaban.
