-
El atacante usรณ 59.000 ETH de un prรฉstamo instantรกneo de otra DeFi.
-
Rari Capital reembolsarรก a los agraviados con su token de gobernanza, RGT.
Un nuevo ataque a una plataforma de finanzas descentralizadas (DeFi) generรณ pรฉrdidas millonarias este fin de semana. La vรญctima: Rari Capital, una DeFi cuyo protocolo correo sobre la blockchain de Ethereum.
La propia Rari Capital informรณ sobre el ataque, a travรฉs de su cuenta en Twitter. Segรบn la publicaciรณn del equipo de esta plataforma, el hackeo estuvo relacionado a la integraciรณn de la plataforma con Alpha Finance Lab, otra plataforma DeFi con la cual estรก conectada Rari Capital.
En total, el atacante logrรณ quedarse con 2.600 ethers (ETH) del protocolo, que equivalen a mรกs de 10 millones de dรณlares segรบn el precio de la criptomoneda de Ethereum: mรกs de USD 4.000 al momento de redacciรณn de este artรญculo.
Una investigaciรณn publicada en Medium por Alpha Finance Lab explica cรณmo fue el ataque contra Rari Capital. El hacker ejecutรณ el robo explotando una vulnerabilidad en la plataforma.
Primero, tomรณ un prรฉstamo instantรกneo (flash loan) de 59.000 ETH de otra DeFi, dYdX. Luego, depositรณ esos fondos en Rari Capital, inflรณ el par ibETH (que percibe intereses por la tenencia de ETH en Alpha Homora y el cual Rari utiliza para las ganancias en su protocolo) y manipulรณ al sistema para retirar mรกs dinero del depositado.
El atacante retirรณ los 59.000 ETH que habรญa enviado inicialmente, mรกs la ganancia, pagรณ su prรฉstamo instantรกneo en dYdX y se quedรณ con la diferencia.
La direcciรณn seรฑala como destino de los fondos robados ya fue vaciada. Actualmente, queda poco mรกs de 0,3 ETH (unos 1.400 dรณlares) depositados en ella, como se puede ver en Etherscan.
Luego del ataque, se decidiรณ reembolsar el dinero robado utilizando el token de gobernanza de la plataforma, RGT. En total, se destinarรกn 2 millones de RGT que inicialmente irรญan al crecimiento del equipo y desarrolladores del protocolo como incentivo. Ahora, segรบn informรณ Jai Bhavnani, fundador de Rari, esos fondos servirรกn para ยซreembolsar los fondos perdidos y recompensar a aquellos que ayudaronยป durante el ataque.
DeFi, terreno de vulnerabilidades
Aunque parecรญa haber disminuido la periodicidad de ataques como este a plataformas DeFi, en apenas un par de semanas este es el tercer hackeo millonario que ocurre. Los otros dos, que reportamos en CriptoNoticias, correspondรญan a DeFi en la Binance Smart Chain.
Ambas cadenas cuentan con mecanismos muy sencillos para la creaciรณn de plataformas DeFi. Y ante la rapidez de sus salidas al mercado, suelen contener vulnerabilidades de todo tipo. Solo en estos tres ataques, se han perdido cerca de 100 millones de dรณlares.
Entre 2019 y principios de 2021, los hackeos a las DeFi acumulaban mรกs de 280 millones de dรณlares en pรฉrdidas, segรบn un reporte de Messari reseรฑado en este periรณdico.
