¿Otra debilidad explotada?: atacante sustrajo USD 24 millones de protocolo DeFi Harvest

Un pirata informático explotó una vulnerabilidad en la seguridad del protocolo de finanzas descentralizadas (DeFi) Harvest Finance, desarrollado por un equipo anónimo. El hacker sustrajo USD 24 millones en tokens y luego devolvió USD 2,5 millones al protocolo por razones desconocidas.

El atacante habría necesitado apenas 7 minutos para ejecutar un ataque de arbitraje, con los que realizó una serie de pasos a través de los protocolos Uniswap, Curve Finance y Harvest, antes de alcanzar su objetivo de drenar fondos. Primero obtuvo un préstamo flash de USD 50 millones en Uniswap. Luego comenzó a intercambiar entre USDC y Tether (USDT) para hacer que los precios de los dos tokens oscilaran salvajemente. Cuando notó que el precio de Tether comenzó a caer en Harvest, procedió a intercambiarlo con descuento por stablecoins obtenidas en el préstamo flash, como se aprecia a través de etherscan.

En pocas palabras lo que hizo el atacante fue manipular los precios en Curve y Harvest para obtener mayor rendimiento. Seguidamente habría convertido los fondos en la versión sintética de Bitcoin, renBTC que se utiliza en la red de Ethereum y mediante el uso de la herramienta de mezclado de Ethereum Tornado Cash, pudo retirar los fondos, tal como mostró la cuenta devops199fan.

El protocolo Harvest es una plataforma de cultivo de rendimiento con menos de dos meses de antigüedad. Ofrece a sus usuarios mayor rentabilidad que recopila de diferentes protocolos de préstamos y los optimiza para devolver la máxima ganancia a quienes depositan stablecoins y Bitcoin. Según DeFi Pulse, tenía más de USD 1 mil millones en valor total bloqueado al final de la semana pasada.

La situación irregular fue alertada durante la madrugada del lunes cuando el proveedor de servicios de análisis, DeFi prime advirtió que algo extraño estaba sucediendo en Harvest Finance y necesitaba ser monitoreado de cerca. Una vez que el equipo de Harvest confirmó que se había efectuado el ataque los usuarios comenzaron a retirar sus fondos. Poco después habían retirado unos USD 350 millones del protocolo.

El token FARM nativo de la plataforma se desplomó en más del 60% en menos de una hora, según los datos de CoinGecko.

Más tarde, Harvest Finance informó que había decidido resguardar en frío los fondos de los usuarios, mientras bloqueaba los depósitos. Por el momento, no se han aportado más detalles sobre cómo ocurrió el ataque o si fue consecuencia de una falla del código de contrato inteligente. Harvest Finance afirma que sus contratos inteligentes han sido analizados y evaluados por PeckShield y Haechi Labs.

Una vulnerabilidad DeFi que estaba cantada

El ataque se produce después de que el analista de DeFi Chris Blec alertara que habría razones suficientes para desconfiar de la plataforma. Blec afirmó que los administradores de Harvest Finance tenían bloqueada en los contratos del protocolo, una «clave de administrador que puede drenar fondos». Sin embargo, hasta ahora se desconoce si pudo haber alguna relación entre la referida clave de administrador y la repentina pérdida de fondos del protocolo.

Harvest proporcionó algunas direcciones de bitcoin del atacante y dijo que hay una «cantidad significativa de información de identificación personal sobre el atacante». Afirmó que este es bien conocido en la comunidad de las criptomonedas. Además, ofreció una recompensa de USD 100.000 para la primera persona o equipo que se acerque al atacante.

El equipo detrás del protocolo también informó que solicitó a varios exchanges bloquear las direcciones del atacante.

El ataque subraya la fragilidad de los protocolos DeFi que habitualmente enfrentan ataques similares. Como informó CriptoNoticias recientemente, en lo que va del 2020, otras cinco plataformas DeFi han sufrido ataques, algunas de manera repetida como bZx, lo cual ha generado al menos 30 millones de dólares en pérdidas. Los ataques revelan que los hackers buscan aprovechar las debilidades de los contratos inteligentes de los diferentes protocolos.