Hechos clave:
-
Los hackers han aprovechado las debilidades de los contratos inteligentes de los protocolos.
-
En la carrera por lanzar nuevos proyectos, la seguridad ha quedado como tarea pendiente.
El sector de las finanzas descentralizadas (DeFi) ha crecido a un ritmo acelerado en 2020, ganando popularidad porque los usuarios pueden obtener ingresos de alto rendimiento en poco tiempo, así como préstamos rápidos. Atraídos por el boom de las plataformas que tienen bloqueados millones de dólares en fondos, los hackers también han visto en las DeFi una oportunidad de obtener cuantiosas ganancias, aprovechando ciertas vulnerabilidades.
En lo que va del 2020, unas cinco plataformas DeFi han sufrido ataques, algunas de manera repetida como bZx, lo cual ha generado al menos 30 millones de dólares en pérdidas. Los ataques revelan que los hackers buscan aprovechar las debilidades de los contratos inteligentes de los diferentes protocolos. Las vulnerabilidades se han colado en la fiesta de las DeFi. La mayoría de los protocolos asegura que están debidamente auditados, pero los diferentes incidentes ocurridos han mostrado fallas importantes, tanto en los contratos, como de seguridad en el manejo de tokens.
También te podría interesar
En poco tiempo el ecosistema ha visto la aparición de docenas de nuevos productos y servicios. Se trata de servicios financieros que antes ofrecía la banca tradicional, pero que ahora los están asumiendo los protocolos abiertos y sin permisos (permissionless). El abanico es amplio: dar y recibir préstamos, cambio de divisas, pagos, liquidez, negociación, inversión, custodia y mucho más.
Sin lugar a dudas, las vulnerabilidades de seguridad como la última en bZx reiteran los recientes comentarios del cofundador de Ethereum, Vitalik Buterin, de que la gente está subestimando los riesgos de DeFi.
Los múltiples ataques ocurridos durante el año demuestran que el ecosistema DeFi puede ser más parecido al salvaje oeste, en lugar de ser la nueva frontera del mundo de las criptomonedas.
Ataques y violación de seguridad de las plataformas DeFi en 2020
bZx sufre tercer ataque
Mes del incidente: septiembre
Plataforma: protocolo de préstamos bZx
Fondos perdidos: USD 8 millones
El caso más reciente de una violación de seguridad en el ecosistema DeFi, sucedió el pasado fin de semana cuando atacantes explotaron una vulnerabilidad en los contratos inteligentes de la plataforma de préstamos bZx. La firma confirmó la pérdida de aproximadamente USD 8 millones en criptomonedas.
El tercer hackeo que sufre la plataforma en lo que va de año fue el resultado de un error que permitió al atacante duplicar las fichas iTokens sin respaldo en su cuenta, para luego retirarlos. Al darse cuenta del exploit, el equipo de bZx pausó el proceso de duplicación de iTokens, corrigió el error y luego reanudó las operaciones. Sin embargo, este último ataque llama particularmente la atención, debido a que el protocolo fue sometido a dos auditorías que no descubrieron esta vulnerabilidad.
Opyn fue despojado de 371.000 USDC
Mes del incidente: Agosto
Plataforma: protocolo de financiamiento Opyn
Fondos perdidos: USDC 371.000
El protocolo de financiamiento descentralizado Opyn fue despojado de 371.000 USDC en agosto, en lo que fue un ataque de doble gasto. Los expertos señalaron que, en este caso, como en muchos otros que han ocurrido en el ecosistema DeFi, el exploit -no tan sutil- tuvo que ser detectado con anterioridad.
El análisis de los investigadores de seguridad PeckShield detalló en ese momento que el doble gasto ocurrió debido a un error explotado en el contrato inteligente, lo que permitió que los atacantes pudieran saquear abiertamente fondos que se encontraban dentro de los contratos inteligentes de Opyn.
El equipo de la plataforma posteriormente contó con la ayuda de un pirata informático de sombrero blanco, conocido como “samczsun” para extraer un total de 572,165 USDC de los contratos inteligentes restantes de Opyn, en un intento de mitigar pérdidas adicionales.
450.000 dólares drenados de DeFi Balancer
Mes del incidente: junio
Plataforma: DeFi balancer
Fondos perdidos: USD 450.000
El protocolo de creación de mercado Balancer fue víctima de un atacante en junio pasado que drenó 450.000 dólares. El atacante aprovechó un exploit facilitado por los llamados tokens deflacionarios, STA y STONK, para vaciar el contenido de dos pools, en tan solo dos transacciones.
El atacante agotó 601.3 ETH (aproximadamente USD 134.000), 11,36 WBTC (USD 103.000), 22,593 LINK (USD 102.000) y 60,915 SNX (USD 110.000). En total, el atacante tuvo acceso a unos 450.000 dólares.
DEX Aggregator 1inch dijo en su informe que el atacante era “un ingeniero de contratos inteligentes muy sofisticado con un amplio conocimiento y comprensión de los principales protocolos DeFi”.
El ETH que se utilizó para implementar los contratos inteligentes se mezcló a través de Tornado Cash para ocultar la fuente. Balancer dijo que no sabían que este tipo específico de ataque era posible, pero supuestamente advirtió sobre los efectos no deseados de los tokens deflacionarios con tarifas de transferencia.
Ataque a lendf.me cargó con USD 25 millones
Mes del incidente: abril
Plataforma: protocolo dForce, sección Lendf.Me
Fondos perdidos: USD 25 millones
Una sección de la DeFi de préstamos instantáneos dForce, Lendf.Me sufrió un ataque que le generó la pérdida de USD 25 millones en criptomonedas el día 19 de abril de este año. El robo se produjo porque un atacante aprovechó una vulnerabilidad en el estándar ERC-777 de Ethereum.
El hacker manipuló los libros contables de los contratos de Lendf.Me, lo que les permitió registrar tokens imBTC sin depositarlos. ImBTC es un token de Ethereum atado a bitcoin que utiliza el referido estándar como garantía. El atacante aprovechó que los contratos no tenían guardias de reentrada, que es lo que generalmente se usa para proteger los contratos de estos ataques.
En resumen, el exploit aprovechó un ataque de reentrada a través de imBTC y su estándar de token ERC777. La vulnerabilidad de reentrada permitió al pirata informático aumentar repetidamente su capacidad para tomar préstamos. Así se apoderó de 10 millones de ETH, USD 6.6M de USDT, USD 2.2M de HBTC, USD 750 mil de USDC, USD 381 mil de HUSD, USD 137 mil de DAI, USD 132 mil de MKR y USD 126 mil de PAX para un total de 25 millones de dólares en el momento en el cual ocurrió el incidente.
A raíz del ataque, el equipo de Lendf.Me fue acusado de copiar el código de Compound, recibiendo cientos de críticas de parte de la comunidad que señaló que Lendf.Me supuestamente se basó en los contratos inteligentes originales del Compuesto V1 que no tenían un protector de reentrada, lo que hizo que la plataforma fuera vulnerable a los activos compatibles basados en el estándar de token ERC777.
Atacante se apropió de USD 360.000 en ETH de un préstamo flash
Mes del incidente: febrero
Plataforma: plataforma de préstamos bZx
Fondos perdidos: USD 945.000
El 15 de febrero, un atacante apenas necesitó siete pasos para obtener USD 360.000 en ETH a través de un préstamo flash que involucró a Fulcrum, Compound, DyDx y Uniswap. Quizás decir que la persona hizo siete pasos pueda sonar fácil, el detalle es que lo tuvo que hacer, todo en una sola transacción, pues así es como funcionan los préstamos flash. Toda la operación le costó al pirata informático solo USD 8,71 en tarifas de transacción, porque con este tipo de préstamos se puede pedir prestado un activo sin poner ninguna garantía, siempre y cuando se realice en una sola transacción.
En lugar de explotar directamente un error a través del contrato en sí, el atacante aprovechó las crecientes complejidades en múltiples protocolos DeFi para manipular el sistema. Al tener acceso a una variedad de protocolos diferentes, que pueden interactuar entre sí, el atacante lo usó para su propio beneficio.
En resumen, no hubo un error de contrato inteligente, sino que hubo una larga serie de oportunidades de arbitraje complejas en una multitud de protocolos DeFi, lo que resultó en que el pirata informático obtuviera una ganancia.
Cuatro días más tarde, el atacante volvió a usar el mismo modelo de operaciones para obtener 645.000 dólares americanos adicionales. Entre ambos episodios el monto sustraído alcanzó los 3.581 ethers, unos 945.000 dólares para el momento en el que se produjo el incidente.
Cuidado con el próximo ataque
Esta serie de ataques que han ocurrido en lo que va de año demuestra que el riesgo en DeFi no solo está asociada con lanzarse a una aventura financiera, sino que además representa un riesgo técnico. Evaluar las vulnerabilidades potenciales en el software detrás de un servicio o producto, puede ser un requisito indispensable que los usuarios deberían implementar como regla antes de relacionarse con los protocolos.
Mientras los amigos del código abierto y la descentralización pueden estar elogiando a las plataformas DeFi, es muy posible que el ecosistema necesite más tiempo para mejorar su seguridad y usabilidad.
A medida que la industria avanza por el camino que conduce a la maduración, es preciso que los usuarios tengan presente que las plataformas DeFi no son completamente “sin confianza”, que sean conscientes que algunos proyectos se construyen sobre bases de código mal auditados, son insuficientemente probados o hacen un uso ciego de bibliotecas de terceros que introducen vectores de ataque.
Igualmente es de tener en cuenta que a medida que se almacena más valor en los protocolos DeFi, habrá un mayor incentivo para que los hackers encuentren estos vectores de ataque y exploten bases de código mal auditados. No convertirse en la próxima víctima puede ser su mayor ganancia.
