Por Arnaldo Ochoa   @arnaldochoa

Luego de una primera amenaza al protocolo Uniswap este fin de semana siendo hackeado por USD $ 300.000, el mercado DeFi sufre nueva amenaza: Un hacker roba USD $ 25 millones en BTC y ETH a protocolo dForce

***

El sábado, una primera amenaza al protocolo Uniswap, siendo hackeado por USD $ 300.000, dejaba ver que el mercado DeFi se encuentra bajo una fuerte amenaza. Solo horas después, la comunidad cripto lo corrobora al conocerse la noticia de que un hacker roba USD $ 24,95 millones en BTC y ETH al protocolo dForce, un protocolo de finanzas descentralizadas (DeFi) chino respaldado por la firma Multicoin Capital.

Así lo dejaron saber medios como U.Today, Cryptobriefing y Cryptoglobe ayer domingo, agregando que el protocolo fue atacado a las 8:45 (EST) del 19 de abril a una altura de bloque de 9.899.681. Asimismo, los datos en cadena indican que los fondos robados se han trasladado a los principales protocolos DeFi, Compound y Aave.

Parece que están “drenando” el protocolo LendfMe / dForce

Hacker roba USD $ 25 millones en BTC y ETH a dForce

Según la data de DeFi Pulse, el valor total bloqueado en el ecosistema dForce se redujo en un 100% a partir del ataque. Para el sábado, el valor total bloqueado en el sistema era de USD $ 25 millones en ETH y BTC, como se puede ver en la gráfica:

DeFi-Hackeo-dForce
Caída en valor bloqueado de dForce el fin de semana. Fuente: DeFi Pulse.

dForce es un ecosistema de protocolos que incluyen a la plataforma de préstamos Lendf.Me, así como también a USDx. No se pudo corroborar el acceso a Lendf.

El CEO de dForce, Mindao Yang, dijo en el canal de Telegram del protocolo que “el equipo aún está investigando el problema” y aconsejó a los usuarios que no agreguen activo alguno a Lendf.Me. Mindao Yang también confirmó que el sitio chino de cripto noticias ChainNews lendf.Me fue atacado.

Siguiendo a Uniswap

Aún no se revelaron detalles del hackeo. No obstante, se sabe que en enero, Lendf.Me se integró con imBTC, un token de Ethereum con un valor vinculado a BTC. imBTC es el polémico token involucrado en el ataque que explotó un pool de liquidez en el protocolo descentralizado Uniswap horas antes, resultando en una pérdida de USD $300.000 en ETH y BTC tokenizado.

El ataque a imBTC aprovechó que este usa ERC 777, un estándar que permitió precisamente al pirata informático llamar continuamente al contrato inteligente de Uniswap y retirar fondos vía antes de que se pudiera actualizar el saldo externo.

Parece que el pirata informático (que hackeó a) @LendfMe abusó de los mismos problemas de reentrada
del token ERC777 $imBTC de @tokenlon, que se usó ayer para drenar el grupo imBTC / ETH en
@UniswapProtocol
USD $ 25 millones se han ido así, polvo en el viento, tengan cuidado ahí afuera, amigos

¿DeFi está débil a nivel de seguridad?

Un usuario afirmó que la vulnerabilidad permitió que el hacker lograra colaterales ilimitados y luego pudo agotar la piscina de liquidez al pedir un préstamo. Sobre la solidez del ecosistema de protocolos, el CEO de dForce afirmó:

No hubo ningún exceso en el pasado, ni siquiera durante el Jueves Negro, el lendf liquidó más de un millón de préstamos y fue el servicio de préstamos de mejor rendimiento.

Si miran nuestra cartera, la mayor parte de los préstamos con garantía no de la empresa, están por encima del 160% de cobertura de garantía, por lo que se necesitará una caída drástica del 40% para no colateralizar posiciones significativas.

Los antecedentes

El esquema no es nuevo. En 2016, USD $ 60 millones en Ether fueron sustraídos de DAO usando un mecanismo similar. Incluso, la auditoría de ConsenSys de hace 16 meses, mencionada en el hackeo a Uniswap, discutió la vulnerabilidad en profundidad, lo que causó gran malestar ahora entre la comunidad DeFi al no tomarse los correctivos. Esto, aun sabiendo de sus resultados.

El sector DeFi ha recibido varios golpes en los últimos meses, a pesar de las cifras de crecimiento en valor bloqueado en la aplicación DeFi Pulse. La plataforma MakerDAO experimentó pérdidas importantes después de la caída repentina en los precios de las principales criptomonedas, el 12 de marzo. El evento, ahora conocido como “Jueves Negro”, provocó una falla en los sistemas de la plataforma, lo que causó las pérdidas.

Lendf.Me, lanzado en septiembre, se convirtió en el séptimo mercados de DeFi más grande por valor bloqueado en DeFi Pulse hasta el momento del ataque.

El 15 de abril, dForce había anunciado una ronda de financiación de USD $ 1,5 millones dirigida por Multicoin Capital. La inversión contó con la participación de Huobi Capital y China Merchants Bank International (CMBI), división de inversión de uno de los bancos más grandes de China.

Fuentes: DeFi Pulse, U.Today, Cryptobriefing, Cryptoglobe, CoinTelegraph.

Reporte de Arnaldo Ochoa / DiarioBitcoin.

Imagen de Pixabay