Hechos clave:
- Los hackers habrían explotado una vulnerabilidad en el estándar ERC-777 de Ethereum.
- Se conoció que el ataque guardaría relación con imBTC un token de Ethereum atado a bitcoin.
La plataforma china de finanzas descentralizadas (DeFi) para préstamos, Lendf.Me, sufrió un ataque la noche de este sábado 18 de abril. Los hackers sustrajeron alrededor de 25 millones de dólares en criptomonedas en un nuevo caso de vulnerabilidad en este tipo de servicios basados en contratos inteligentes.
Equipos de seguridad de dForce, la organización que gestiona las operaciones de Lendf.Me, están investigando lo ocurrido, pero se informó, extraoficialmente, que el robo tendría relación con una vulnerabilidad en el estándar ERC-777 de Ethereum. Se cree que la falla se originó tras la integración de Lendf.Me con imBTC, un token de Ethereum atado a bitcoin y que utiliza el referido estándar como garantía. La versión tokenizada es administrada por TokenIon.
El exploit le habría permitido a los delincuentes hacer llamadas continuas al contrato inteligente para retirar fondos antes de que se produjera una actualización en el balance general. El pirata habría iniciado la operación con un suministro propio de imBTC. El hecho ocurrió a la altura del bloque 9.989.681.
El servicio informativo de China, Chain News, indicó que un ataque similar fue detectado este sábado en el sistema de préstamos DeFi, Uniswap, por lo que se sospecha que en ambos casos actuó el mismo pirata o grupo de hackers. En este último caso se informó que las pérdidas ascendieron a unos 300.000 dólares en criptomonedas.
Una vez detectada la falla se suspendió el servicio de la plataforma y se indicó a los usuarios que detuvieran cualquier transferencia de fondos. El acceso a la página web de Lendf.Me estaba suspendido al momento de publicar este artículo. También se dio a conocer que los fondos habrían sido enviados a las plataformas Compound y Aave. Stani Kulechov, fundador y CEO de Aave, señaló a medios digitales que unos 10 millones de dólares de los fondos fueron enviados a su protocolo.
TokenIon informó este domingo lo siguiente: «El contrato de imBTC se ha suspendido, esperando que se evalúe el incidente de seguridad y luego se reinicie. La custodia de BTC que respalda imBTC 1:1 no se ve afectada. Los usuarios que posean imBTC podrán canjear, intercambiar, transferir y usar otras funciones después de que se levante la suspensión».
Lo ocurrido con Lendf.Me se presenta dos meses después que otra plataforma DeFi, bZx, sufriera múltiples ataques que derivaron primero en la pérdida de 350.000 dólares en criptomonedas. La cifra fue actualizada posteriormente a 645.000 dólares y habría sido en definitiva de 1 millón de dólares.
El mercado de las finanzas descentralizadas está floreciendo ya que le permite a los usuarios optar por préstamos inmediatos o participar en mercado predictivos, por ejemplo. Sin embargo, los servicios de este tipo también han sido víctimas de los piratas informáticos, quienes explotan vulnerabilidades de los contratos inteligentes bajo los cuales funcionan estos sistemas.
