-
Los hackers habrรญan explotado una vulnerabilidad en el estรกndar ERC-777 de Ethereum.
-
Se conociรณ que el ataque guardarรญa relaciรณn con imBTC un token de Ethereum atado a bitcoin.
La plataforma china de finanzas descentralizadas (DeFi) para prรฉstamos, Lendf.Me, sufriรณ un ataque la noche de este sรกbado 18 de abril. Los hackers sustrajeron alrededor de 25 millones de dรณlares en criptomonedas en un nuevo caso de vulnerabilidad en este tipo de servicios basados en contratos inteligentes.
Equipos de seguridad de dForce, la organizaciรณn que gestiona las operaciones de Lendf.Me, estรกn investigando lo ocurrido, pero se informรณ, extraoficialmente, que el robo tendrรญa relaciรณn con una vulnerabilidad en el estรกndar ERC-777 de Ethereum. Se cree que la falla se originรณ tras la integraciรณn de Lendf.Me con imBTC, un token de Ethereum atado a bitcoin y que utiliza el referido estรกndar como garantรญa. La versiรณn tokenizada es administrada por TokenIon.
El exploit le habrรญa permitido a los delincuentes hacer llamadas continuas al contrato inteligente para retirar fondos antes de que se produjera una actualizaciรณn en el balance general. El pirata habrรญa iniciado la operaciรณn con un suministro propio de imBTC. El hecho ocurriรณ a la altura del bloque 9.989.681.
El servicio informativo de China, Chain News, indicรณ que un ataque similar fue detectado este sรกbado en el sistema de prรฉstamos DeFi, Uniswap, por lo que se sospecha que en ambos casos actuรณ el mismo pirata o grupo de hackers. En este รบltimo caso se informรณ que las pรฉrdidas ascendieron a unos 300.000 dรณlares en criptomonedas.
Una vez detectada la falla se suspendiรณ el servicio de la plataforma y se indicรณ a los usuarios que detuvieran cualquier transferencia de fondos. El acceso a la pรกgina web de Lendf.Me estaba suspendido al momento de publicar este artรญculo. Tambiรฉn se dio a conocer que los fondos habrรญan sido enviados a las plataformas Compound y Aave. Stani Kulechov, fundador y CEO de Aave, seรฑalรณ a medios digitales que unos 10 millones de dรณlares de los fondos fueron enviados a su protocolo.
TokenIon informรณ este domingo lo siguiente: ยซEl contrato de imBTC se ha suspendido, esperando que se evalรบe el incidente de seguridad y luego se reinicie. La custodia de BTC que respalda imBTC 1:1 no se ve afectada. Los usuarios que posean imBTC podrรกn canjear, intercambiar, transferir y usar otras funciones despuรฉs de que se levante la suspensiรณnยป.
Lo ocurrido con Lendf.Me se presenta dos meses despuรฉs que otra plataforma DeFi, bZx, sufriera mรบltiples ataques que derivaron primero en la pรฉrdida de 350.000 dรณlares en criptomonedas. La cifra fue actualizada posteriormente a 645.000 dรณlares y habrรญa sido en definitiva de 1 millรณn de dรณlares.
El mercado de las finanzas descentralizadas estรก floreciendo ya que le permite a los usuarios optar por prรฉstamos inmediatos o participar en mercado predictivos, por ejemplo. Sin embargo, los servicios de este tipo tambiรฉn han sido vรญctimas de los piratas informรกticos, quienes explotan vulnerabilidades de los contratos inteligentes bajo los cuales funcionan estos sistemas.
