Usuarios de plataforma DeFi pierden USD 16 millones tras hackeo

La plataforma para finanzas descentralizadas (DeFi) Indexed Finance, sufrió un hackeo en el cual se robaron USD 16 millones en criptoactivos de algunos de los usuarios. El episodio sucedió el jueves 14 de octubre. Hasta la fecha la organización no ha conseguido recuperar los fondos robados, aunque dice que ya ha identificado al hacker.

La plataforma advirtió en Twitter que, si el pirata informático no devuelve los criptoactivos, le enviará sus datos a la policía. Es el primer ataque que tuvo desde su desarrollo en diciembre. Las víctimas fueron algunas personas que tenían tokens en índices DEFI5 y CC10 de la dirección 0xba5ed1488be60ba2facc6b66c6d6f0befba22ebe.

Inmediatamente luego del hackeo, Indexed descubrió cómo fue el robo y anunció en detalle lo que había sucedido y cómo evitará que vuelva a pasar. Advirtió, también, que el equipo central determinará próximamente de qué manera los afectados serán compensados y si podrán recuperar sus criptoactivos o no.

No hace falta decir que estamos conmocionados y molestos. Escuchar ‘lo sentimos’ en un protocolo siempre parece sonar vacío después de estos incidentes (especialmente para los afectados). Pero vale la pena repetirlo. Nos disculpamos de verdad con ambos: aquellos a los que se les han agotado los fondos y los que permanecen en grupos no afectados.

Indexed.

¿Cómo fue el hackeo de criptoactivos en la DeFi Indexed Finance?

Un pirata informático tomó ciertos activos que respaldaban el valor de los tokens de índice en Indexed Finance, al encontrar una vulnerabilidad en los contratos inteligentes de su protocolo. Vale aclarar que, esta plataforma de finanzas descentralizadas construida sobre Ethereum se dedica a producir tokens que rastrean los índices del mercado.

Indexed explicó que cada vez que se agrega un token – el cual representa el 1% de un grupo de índices de Balancer –, el sistema le establece un precio, según cálculos de Uniswap. Esta herramienta se encarga de encontrar el primer token inicializado completamente con un peso mayor a cero para multiplicar el saldo del grupo por su peso.

A su vez, la plataforma tiene otra función que restablece el saldo virtual para un token no inicializado. Específicamente se usa cuando su valor cambia y el saldo mínimo queda lejos del 1% del grupo, por lo que nadie quiere cambiarlo. Esto fue lo que utilizó el hacker en cuestión para realizar el robo.

El hackeo consistió en ejecutar una actualización del saldo mínimo durante un reindexado de DEFI5 en el que se utilizó a UNI para aproximar el valor del grupo. En el proceso, se intercambiaron USD 156 millones en UNI, AAVE, COMP, CRV, MKR, SNX de Sushiswap y Uniswap V2.

De acuerdo a la publicación, el problema comenzó cuando el cálculo determinó que el valor mínimo razonable para SUSHI 11.926 era de alrededor de USD 126 mil. Como este número permitió comprar casi todo UNI en el grupo, el atacante actualizó SUSHI 29.851 a USD 300 mil, logrando así un suministro inflado. Algo similar a otros hackeos que CriptoNoticias reveló este año.

A continuación, el hacker quemó DEFI5 para todos los activos subyacentes y repitió el proceso varias veces. Al final, pagó los préstamos urgentes con alrededor de USD 11 millones en criptoactivos. En CC10 fue lo mismo, excepto que el paso inicial de reindexación ya se había realizado.

Ante la situación, Indexed decidió que eliminará la herramienta de valor aproximado porque resulta muy insegura. Avisó que está abierto a evaluar todas las ideas posibles para establecer un nuevo código y ya ha recibido la ayuda de muchos desarrolladores de Ethereum para modificar sus contratos inteligentes.

Indexed confirmó que implementará una función que tome el valor combinado de los saldos mantenidos por un grupo en cada uno de sus tokens. Asimismo, establecerá una espera de al menos 24 horas para evitar la posibilidad de un reindexado y una actualización de saldo mínimo en la misma transacción.