Hechos clave:
-
El atacante usó 59.000 ETH de un préstamo instantáneo de otra DeFi.
-
Rari Capital reembolsará a los agraviados con su token de gobernanza, RGT.
Un nuevo ataque a una plataforma de finanzas descentralizadas (DeFi) generó pérdidas millonarias este fin de semana. La víctima: Rari Capital, una DeFi cuyo protocolo correo sobre la blockchain de Ethereum.
La propia Rari Capital informó sobre el ataque, a través de su cuenta en Twitter. Según la publicación del equipo de esta plataforma, el hackeo estuvo relacionado a la integración de la plataforma con Alpha Finance Lab, otra plataforma DeFi con la cual está conectada Rari Capital.
En total, el atacante logró quedarse con 2.600 ethers (ETH) del protocolo, que equivalen a más de 10 millones de dólares según el precio de la criptomoneda de Ethereum: más de USD 4.000 al momento de redacción de este artículo.
Una investigación publicada en Medium por Alpha Finance Lab explica cómo fue el ataque contra Rari Capital. El hacker ejecutó el robo explotando una vulnerabilidad en la plataforma.
Primero, tomó un préstamo instantáneo (flash loan) de 59.000 ETH de otra DeFi, dYdX. Luego, depositó esos fondos en Rari Capital, infló el par ibETH (que percibe intereses por la tenencia de ETH en Alpha Homora y el cual Rari utiliza para las ganancias en su protocolo) y manipuló al sistema para retirar más dinero del depositado.
El atacante retiró los 59.000 ETH que había enviado inicialmente, más la ganancia, pagó su préstamo instantáneo en dYdX y se quedó con la diferencia.
La dirección señala como destino de los fondos robados ya fue vaciada. Actualmente, queda poco más de 0,3 ETH (unos 1.400 dólares) depositados en ella, como se puede ver en Etherscan.
Luego del ataque, se decidió reembolsar el dinero robado utilizando el token de gobernanza de la plataforma, RGT. En total, se destinarán 2 millones de RGT que inicialmente irían al crecimiento del equipo y desarrolladores del protocolo como incentivo. Ahora, según informó Jai Bhavnani, fundador de Rari, esos fondos servirán para «reembolsar los fondos perdidos y recompensar a aquellos que ayudaron» durante el ataque.
DeFi, terreno de vulnerabilidades
Aunque parecía haber disminuido la periodicidad de ataques como este a plataformas DeFi, en apenas un par de semanas este es el tercer hackeo millonario que ocurre. Los otros dos, que reportamos en CriptoNoticias, correspondían a DeFi en la Binance Smart Chain.
Ambas cadenas cuentan con mecanismos muy sencillos para la creación de plataformas DeFi. Y ante la rapidez de sus salidas al mercado, suelen contener vulnerabilidades de todo tipo. Solo en estos tres ataques, se han perdido cerca de 100 millones de dólares.
Entre 2019 y principios de 2021, los hackeos a las DeFi acumulaban más de 280 millones de dólares en pérdidas, según un reporte de Messari reseñado en este periódico.
