Hechos clave:
-
El error fue explotado a semanas del lanzamiento oficial, afectando a los primeros compradores.
-
Los hackers devolvieron USD 8 millones al desarrollador Andre Cronje, involucrado en Eminence.
Depositar confianza y dinero en contratos inteligentes recién salidos del horno es una decisión que puede costar la pérdida de millones de dólares. Más aún si el proyecto está incompleto. Esa es la enseñanza que deja el último ataque de hackers reportado en el ecosistema de Ethereum, el cual ha afectado a la nueva plataforma de juegos del reconocido desarrollador de la DeFi Yearn Finance, Andre Cronje.
El proyecto se llama Eminence y fue presentado al público el 28 de septiembre, a pocas horas de que su contrato inteligente fuese habilitado en la red. Poco duró la emoción de la comunidad de Ethereum alrededor de esta nueva plataforma, puesto que en la madrugada se reportó que un hacker aprovechó una vulnerabilidad en el contrato de Eminence y robó más de 15 millones de dólares.
Así lo relata Andre Cronje en un hilo de tuits donde aclara el suceso. El desarrollador apunta que faltaban tres semanas para el lanzamiento oficial, pero habían logrado terminar recientemente el contrato inteligente de Eminence y su concepto comercial. Debido a ello, decidieron lanzar las primeras imágenes promocionando el proyecto, creando altas expectativas en la comunidad por los rendimientos que han ofrecido otros proyectos de Cronje.
El desarrollador decidió trabajar con Eminence bajo la modalidad de «prueba de producción», por lo cual el contrato estaba habilitado para que otras personas interactuaran con él. Inversionistas, sin siquiera tener información básica sobre el proyecto Eminence, decidieron invertir unos 15 millones de dólares en el contrato. Lo que no sabían era que este poseía una falla que permitía que un atacante pudiese acuñar de forma ilimitada tokens de la plataforma (EMN), quemarlos por otras monedas y luego intercambiarlos nuevamente por EMN; multiplicando así sus ganancias.
Aunque los hackers llevaron a cabo el robo sin mayores problemas, sorpresivamente devolvieron a Cronje unos 8 millones de dólares. El dinero fue depositado en un monedero que utiliza Cronje en yEarn, lo que generó aún más disconformidad en los inversionistas que compraron tokens de Eminence. El desarrollador aseguró que enviará el dinero a la tesorería de la plataforma de juegos, para que dichos fondos sean retribuidos a todos los usuarios afectados por el robo.
El dinero estará protegido en un monedero de múltiples firmas para evitar mayores inconvenientes, señala el desarrollador. El suceso también salpica a la plataforma Yearn Finance, ya que es la iniciativa encargada de la emisión de los tokens de Eminence y que estuvo a cargo de procesar las compras de tokens EMN en las últimas horas.
Inversionistas depositaron su dinero en una plataforma que aún no estaba lista
El robo de Eminence pudo haber sido evitado fácilmente no divulgando información prematura para crear expectativas, puesto que la plataforma aún no estaba lista para un uso seguro. Eminence es aún un proyecto experimental, que se encuentra en su fase de «prueba de producción» y cuyo contrato inteligente había sido terminado horas antes de ser atacado.
Este detalle le ha valido críticas en el ecosistema, puesto que el desarrollador promovió en sus redes sociales un proyecto que aún no estaba auditado y que había sido publicado de forma precipitada. Andre había ganado una reputación como uno de los creadores más confiables del espacio, consolidándose como una pieza importante para el éxito de las DeFi.
Se puede constatar en comentarios de Twitter que muchas personas se sintieron confiadas de invertir en este proyecto debido a que Andre formaba parte de sus desarrolladores. Y aunque algunos usuarios lo tildaron de «próxima estafa DeFi«, la realidad es que en tan solo 3 horas Yearn Finance registró compras de 15 millones de dólares en tokens de Eminence, según reportan otras fuentes.
En vista de que el contrato inteligente de Eminence no fue auditado e incluso su publicación fue precipitada, personalidades de la comunidad de criptomonedas consideran que Cronje ha sido imprudente a la hora de promover el proyecto en sus redes sociales. Andre se defendió señalando que él nunca ha aconsejado el uso de contratos aleatorios que él esté desarrollando, a menos que publique una entrada en Medium hablando de dicho servicio.
No es la primera vez que una plataforma que ha sido lanzada sin auditorías previas resulta tener una vulnerabilidad crítica que pone en riesgo el dinero de sus usuarios. Los inversionistas que hacen vida en DeFi tienen que tener en cuenta que todo este mercado es experimental, y que aquellos proyectos que aún no son definitivos pueden ser realmente peligrosos.
Si los usuarios no saben cómo leer un contrato inteligente, pueden estar exponiéndose a errores de código imperceptibles al momento de usar la plataforma. Asimismo, tampoco es recomendable depositar dinero en iniciativas donde existe poca información disponible al respecto, como es el caso de Eminence que solo tiene una cuenta en Twitter.
Los desarrolladores de esta plataforma, contados entre ellos Cronje, también deberían tener en cuenta que no todo se puede probar en vivo inmediatamente. Si el código de un contrato inteligente no ha sido revisado en varias oportunidades, entonces lo mejor es no habilitarlo para el público y dejarlo en la red de pruebas de Ethereum. A pesar de la polémica, Andre Cronje afirma que seguirá trabajando en el desarrollo de Eminence; el robo parece no detener las aspiraciones del proyecto.
