-
Los hackers han aprovechado las debilidades de los contratos inteligentes de los protocolos.
-
En la carrera por lanzar nuevos proyectos, la seguridad ha quedado como tarea pendiente.
El sector de las finanzas descentralizadas (DeFi) ha crecido a un ritmo acelerado en 2020, ganando popularidad porque los usuarios pueden obtener ingresos de alto rendimiento en poco tiempo, asรญ como prรฉstamos rรกpidos. Atraรญdos por el boom de las plataformas que tienen bloqueados millones de dรณlares en fondos, los hackers tambiรฉn han visto en las DeFi una oportunidad de obtener cuantiosas ganancias, aprovechando ciertas vulnerabilidades.
En lo que va del 2020, unas cinco plataformas DeFi han sufrido ataques, algunas de manera repetida como bZx, lo cual ha generado al menos 30 millones de dรณlares en pรฉrdidas. Los ataques revelan que los hackers buscan aprovechar las debilidades de los contratos inteligentes de los diferentes protocolos. Las vulnerabilidades se han colado en la fiesta de las DeFi. La mayorรญa de los protocolos asegura que estรกn debidamente auditados, pero los diferentes incidentes ocurridos han mostrado fallas importantes, tanto en los contratos, como de seguridad en el manejo de tokens.
En poco tiempo el ecosistema ha visto la apariciรณn de docenas de nuevos productos y servicios. Se trata de servicios financieros que antes ofrecรญa la banca tradicional, pero que ahora los estรกn asumiendo los protocolos abiertos y sin permisos (permissionless). El abanico es amplio: dar y recibir prรฉstamos, cambio de divisas, pagos, liquidez, negociaciรณn, inversiรณn, custodia y mucho mรกs.
Sin lugar a dudas, las vulnerabilidades de seguridad como la รบltima en bZx reiteran los recientes comentarios del cofundador de Ethereum, Vitalik Buterin, de que la gente estรก subestimando los riesgos de DeFi.
Los mรบltiples ataques ocurridos durante el aรฑo demuestran que el ecosistema DeFi puede ser mรกs parecido al salvaje oeste, en lugar de ser la nueva frontera del mundo de las criptomonedas.
Ataques y violaciรณn de seguridad de las plataformas DeFi en 2020
bZx sufre tercer ataque
Mes del incidente: septiembre
Plataforma: protocolo de prรฉstamos bZx
Fondos perdidos: USD 8 millones
El caso mรกs reciente de una violaciรณn de seguridad en el ecosistema DeFi, sucediรณ el pasado fin de semana cuando atacantes explotaron una vulnerabilidad en los contratos inteligentes de la plataforma de prรฉstamos bZx. La firma confirmรณ la pรฉrdida de aproximadamente USD 8 millones en criptomonedas.
El tercer hackeo que sufre la plataforma en lo que va de aรฑo fue el resultado de un error que permitiรณ al atacante duplicar las fichas iTokens sin respaldo en su cuenta, para luego retirarlos. Al darse cuenta del exploit, el equipo de bZx pausรณ el proceso de duplicaciรณn de iTokens, corrigiรณ el error y luego reanudรณ las operaciones. Sin embargo, este รบltimo ataque llama particularmente la atenciรณn, debido a que el protocolo fue sometido a dos auditorรญas que no descubrieron esta vulnerabilidad.
Opyn fue despojado de 371.000 USDC
Mes del incidente: Agosto
Plataforma: protocolo de financiamiento Opyn
Fondos perdidos: USDC 371.000
El protocolo de financiamiento descentralizado Opyn fue despojado de 371.000 USDC en agosto, en lo que fue un ataque de doble gasto. Los expertos seรฑalaron que, en este caso, como en muchos otros que han ocurrido en el ecosistema DeFi, el exploit -no tan sutil- tuvo que ser detectado con anterioridad.
El anรกlisis de los investigadores de seguridad PeckShield detallรณ en ese momento que el doble gasto ocurriรณ debido a un error explotado en el contrato inteligente, lo que permitiรณ que los atacantes pudieran saquear abiertamente fondos que se encontraban dentro de los contratos inteligentes de Opyn.
El equipo de la plataforma posteriormente contรณ con la ayuda de un pirata informรกtico de sombrero blanco, conocido como ยซsamczsunยป para extraer un total de 572,165 USDC de los contratos inteligentes restantes de Opyn, en un intento de mitigar pรฉrdidas adicionales.
450.000 dรณlares drenados de DeFi Balancer
Mes del incidente: junio
Plataforma: DeFi balancer
Fondos perdidos: USD 450.000
El protocolo de creaciรณn de mercado Balancer fue vรญctima de un atacante en junio pasado que drenรณ 450.000 dรณlares. El atacante aprovechรณ un exploit facilitado por los llamados tokens deflacionarios, STA y STONK, para vaciar el contenido de dos pools, en tan solo dos transacciones.
El atacante agotรณ 601.3 ETH (aproximadamente USD 134.000), 11,36 WBTC (USD 103.000), 22,593 LINK (USD 102.000) y 60,915 SNX (USD 110.000). En total, el atacante tuvo acceso a unos 450.000 dรณlares.
DEX Aggregator 1inch dijo en su informe que el atacante era ยซun ingeniero de contratos inteligentes muy sofisticado con un amplio conocimiento y comprensiรณn de los principales protocolos DeFiยป.
El ETH que se utilizรณ para implementar los contratos inteligentes se mezclรณ a travรฉs de Tornado Cash para ocultar la fuente. Balancer dijo que no sabรญan que este tipo especรญfico de ataque era posible, pero supuestamente advirtiรณ sobre los efectos no deseados de los tokens deflacionarios con tarifas de transferencia.
Ataque a lendf.me cargรณ con USD 25 millones
Mes del incidente: abril
Plataforma: protocolo dForce, secciรณn Lendf.Me
Fondos perdidos: USD 25 millones
Una secciรณn de la DeFi de prรฉstamos instantรกneos dForce, Lendf.Me sufriรณ un ataque que le generรณ la pรฉrdida de USD 25 millones en criptomonedas el dรญa 19 de abril de este aรฑo. El robo se produjo porque un atacante aprovechรณ una vulnerabilidad en el estรกndar ERC-777 de Ethereum.
El hacker manipulรณ los libros contables de los contratos de Lendf.Me, lo que les permitiรณ registrar tokens imBTC sin depositarlos. ImBTC es un token de Ethereum atado a bitcoin que utiliza el referido estรกndar como garantรญa. El atacante aprovechรณ que los contratos no tenรญan guardias de reentrada, que es lo que generalmente se usa para proteger los contratos de estos ataques.
En resumen, el exploit aprovechรณ un ataque de reentrada a travรฉs de imBTC y su estรกndar de token ERC777. La vulnerabilidad de reentrada permitiรณ al pirata informรกtico aumentar repetidamente su capacidad para tomar prรฉstamos. Asรญ se apoderรณ de 10 millones de ETH, USD 6.6M de USDT, USD 2.2M de HBTC, USD 750 mil de USDC, USD 381 mil de HUSD, USD 137 mil de DAI, USD 132 mil de MKR y USD 126 mil de PAX para un total de 25 millones de dรณlares en el momento en el cual ocurriรณ el incidente.
A raรญz del ataque, el equipo de Lendf.Me fue acusado de copiar el cรณdigo de Compound, recibiendo cientos de crรญticas de parte de la comunidad que seรฑalรณ que Lendf.Me supuestamente se basรณ en los contratos inteligentes originales del Compuesto V1 que no tenรญan un protector de reentrada, lo que hizo que la plataforma fuera vulnerable a los activos compatibles basados en el estรกndar de token ERC777.
Atacante se apropiรณ de USD 360.000 en ETH de un prรฉstamo flash
Mes del incidente: febrero
Plataforma: plataforma de prรฉstamos bZx
Fondos perdidos: USD 945.000
El 15 de febrero, un atacante apenas necesitรณ siete pasos para obtener USD 360.000 en ETH a travรฉs de un prรฉstamo flash que involucrรณ a Fulcrum, Compound, DyDx y Uniswap. Quizรกs decir que la persona hizo siete pasos pueda sonar fรกcil, el detalle es que lo tuvo que hacer, todo en una sola transacciรณn, pues asรญ es como funcionan los prรฉstamos flash. Toda la operaciรณn le costรณ al pirata informรกtico solo USD 8,71 en tarifas de transacciรณn, porque con este tipo de prรฉstamos se puede pedir prestado un activo sin poner ninguna garantรญa, siempre y cuando se realice en una sola transacciรณn.
En lugar de explotar directamente un error a travรฉs del contrato en sรญ, el atacante aprovechรณ las crecientes complejidades en mรบltiples protocolos DeFi para manipular el sistema. Al tener acceso a una variedad de protocolos diferentes, que pueden interactuar entre sรญ, el atacante lo usรณ para su propio beneficio.
En resumen, no hubo un error de contrato inteligente, sino que hubo una larga serie de oportunidades de arbitraje complejas en una multitud de protocolos DeFi, lo que resultรณ en que el pirata informรกtico obtuviera una ganancia.
Cuatro dรญas mรกs tarde, el atacante volviรณ a usar el mismo modelo de operaciones para obtener 645.000 dรณlares americanos adicionales. Entre ambos episodios el monto sustraรญdo alcanzรณ los 3.581 ethers, unos 945.000 dรณlares para el momento en el que se produjo el incidente.
Cuidado con el prรณximo ataque
Esta serie de ataques que han ocurrido en lo que va de aรฑo demuestra que el riesgo en DeFi no solo estรก asociada con lanzarse a una aventura financiera, sino que ademรกs representa un riesgo tรฉcnico. Evaluar las vulnerabilidades potenciales en el software detrรกs de un servicio o producto, puede ser un requisito indispensable que los usuarios deberรญan implementar como regla antes de relacionarse con los protocolos.
Mientras los amigos del cรณdigo abierto y la descentralizaciรณn pueden estar elogiando a las plataformas DeFi, es muy posible que el ecosistema necesite mรกs tiempo para mejorar su seguridad y usabilidad.
A medida que la industria avanza por el camino que conduce a la maduraciรณn, es preciso que los usuarios tengan presente que las plataformas DeFi no son completamente ยซsin confianzaยป, que sean conscientes que algunos proyectos se construyen sobre bases de cรณdigo mal auditados, son insuficientemente probados o hacen un uso ciego de bibliotecas de terceros que introducen vectores de ataque.
Igualmente es de tener en cuenta que a medida que se almacena mรกs valor en los protocolos DeFi, habrรก un mayor incentivo para que los hackers encuentren estos vectores de ataque y exploten bases de cรณdigo mal auditados. No convertirse en la prรณxima vรญctima puede ser su mayor ganancia.
