Hechos clave:
-
Qubit Finance reconoció la existencia de una falla en la seguridad de su plataforma.
-
Servicios de suministro, retención, préstamos y reembolso de la empresa están deshabilitados.
Qubit Finance, un protocolo de finanzas descentralizadas (DeFi), fue hackeado esta semana. Perdieron cerca de USD 80 millones en criptomonedas y, en un intento por recuperar los fondos, pidieron al atacante que negocie con ellos y retorne el dinero a la comunidad.
A través de Twitter, el equipo detrás de la plataforma que se basa en contratos inteligentes, reconoció una falla en la seguridad, más precisamente en QBridge, que es un puente de cadenas de bloques que hace más fáciles los intercambios de tokens entre la red Ethereum y la Binance Smart Chain.
Según lo muestra un informe de Qubit Finance sobre el hackeo masivo, el atacante envió datos falsos para activar la función de depósito en QBridge (el puente), en Ethereum.
Precisa la compañía que dicho puente debe recibir wrapped ether (wETH), un token envuelto. En teoría, si la persona que realiza la transacción no tiene uno de estos tokens, la transferencia no debería ocurrir.
Pero ahí se suscitó la falla. El comando safeTransferFrom del protocolo no falló, pues el atacante parece haber enviado datos maliciosos lo que hizo que la función de depósito finalizara normalmente en el contrato.
Por eso, recibió a cambio USD 185 millones en Qubit xETH, dinero que usó luego como una garantía para tomar unos USD 80 millones en criptomonedas de varios grupos de prestamistas.
En total, al menos 15.688 wETH (cerca de USD 37,6 millones), 767 BTC-B (USD 28,5 millones), USD 9,5 millones en monedas estables y 5 millones de dólares en tokens CAKE, BUNNY y MDX, fueron sustraídos de la plataforma descentralizada.
¿Y ahora qué?
Según Qubit Finance, ahora mismo el equipo técnico está rastreando al atacante y monitoreando los activos afectados. Precisan que ofrecieron al hacker su «máxima recompensa» (aunque no dijeron de cuánto), al tiempo en que están cooperando con entes de seguridad y redes, incluido el exchange centralizado Binance.
Qubit advierte que, de momento, las funciones de suministro, retención, préstamos, reembolso, puenteo y redención están deshabilitadas hasta nuevo aviso.
En redes sociales, el equipo de Qubit hizo un llamamiento público al hacker. Exponen que «no es demasiado tarde para devolver los fondos» robados a los usuarios, y se comprometen, de nuevo, a pagar la recompensa.
Además, prometen al atacante no llevar el caso legales, siempre que se devuelvan los fondos robados, «y haga lo correcto por la comunidad» actualmente afectada.
«Le proponemos que negocie directamente con nosotros antes de tomar cualquier otra medida. El hackeo y la pérdida de fondos tienen un efecto profundo en miles de personas reales. Si la oferta de recompensa máxima no es lo que está buscando, estamos abiertos a conversar. Vamos a encontrar una solución», suplican desde Qubit Finance.
2022 inició con hackeos
Lo que sucedió con Qubit Finance viene a sumarse a la lista de otros protocolos que en apenas 29 días del 2022 han sido víctimas de ataques, que han permitido a ladrones robar sumas cuantiosas de dinero.
Un ejemplo fue Crypto.com, uno de los exchanges más grandes, de donde fueron extraídos unos 800 bitcoins. Esto ocurrió el pasado 17 de enero. En total, se estima una pérdida de USD 30 millones.
Tal como se reportó en CriptoNoticias, la respuesta de esta empresa frente al robo fue digna de analizar. Aunque cubrieron los fondos de los casi 500 usuarios vulnerados, parecían estar renuentes a aceptar el hackeo.
Lo alarmante es que, para este año, no parece que los hackeos vayan a ceder. Más bien, se estima que los piratas informáticos se apoyen en una familia de malwares, con los que pretenden robarle los fondos, en este caso, directamente a las víctimas.
Según lo reseñado por este medio, la firma de análisis de blockchains Chainalysis se encargó de estudiar el fenómeno y estableció en cuatro los tipos de virus usados por los delincuentes.
