Por Arnaldo Ochoa @arnaldochoaLuego de una primera amenaza al protocolo Uniswap este fin de semana siendo hackeado por USD $ 300.000, el mercado DeFi sufre nueva amenaza: Un hacker roba USD $ 25 millones en BTC y ETH a protocolo dForce
***
El sábado, una primera amenaza al protocolo Uniswap, siendo hackeado por USD $ 300.000, dejaba ver que el mercado DeFi se encuentra bajo una fuerte amenaza. Solo horas después, la comunidad cripto lo corrobora al conocerse la noticia de que un hacker roba USD $ 24,95 millones en BTC y ETH al protocolo dForce, un protocolo de finanzas descentralizadas (DeFi) chino respaldado por la firma Multicoin Capital.
Así lo dejaron saber medios como U.Today, Cryptobriefing y Cryptoglobe ayer domingo, agregando que el protocolo fue atacado a las 8:45 (EST) del 19 de abril a una altura de bloque de 9.899.681. Asimismo, los datos en cadena indican que los fondos robados se han trasladado a los principales protocolos DeFi, Compound y Aave.
Parece que están “drenando” el protocolo LendfMe / dForce
It looks like LendfMe / dForce protocol being drained 🚨 pic.twitter.com/UEqSEpSOfT
— defiprime (@defiprime) April 19, 2020
Hacker roba USD $ 25 millones en BTC y ETH a dForce
Según la data de DeFi Pulse, el valor total bloqueado en el ecosistema dForce se redujo en un 100% a partir del ataque. Para el sábado, el valor total bloqueado en el sistema era de USD $ 25 millones en ETH y BTC, como se puede ver en la gráfica:
dForce es un ecosistema de protocolos que incluyen a la plataforma de préstamos Lendf.Me, así como también a USDx. No se pudo corroborar el acceso a Lendf.
El CEO de dForce, Mindao Yang, dijo en el canal de Telegram del protocolo que “el equipo aún está investigando el problema” y aconsejó a los usuarios que no agreguen activo alguno a Lendf.Me. Mindao Yang también confirmó que el sitio chino de cripto noticias ChainNews lendf.Me fue atacado.
Siguiendo a Uniswap
Aún no se revelaron detalles del hackeo. No obstante, se sabe que en enero, Lendf.Me se integró con imBTC, un token de Ethereum con un valor vinculado a BTC. imBTC es el polémico token involucrado en el ataque que explotó un pool de liquidez en el protocolo descentralizado Uniswap horas antes, resultando en una pérdida de USD $300.000 en ETH y BTC tokenizado.
El ataque a imBTC aprovechó que este usa ERC 777, un estándar que permitió precisamente al pirata informático llamar continuamente al contrato inteligente de Uniswap y retirar fondos vía antes de que se pudiera actualizar el saldo externo.
Parece que el pirata informático (que hackeó a) @LendfMe abusó de los mismos problemas de reentrada
del token ERC777 $imBTC de @tokenlon, que se usó ayer para drenar el grupo imBTC / ETH en
@UniswapProtocol
USD $ 25 millones se han ido así, polvo en el viento, tengan cuidado ahí afuera, amigos
Looks like the @LendfMe hacker abused the same reentrancy issues of @tokenlon's ERC777 $imBTC token which was used yesterday to drain the imBTC/ETH pool on @UniswapProtocol
$25M gone just like that, dust in the wind, be careful out there frens$ETH #DeFi https://t.co/9hDvgo1Hqk pic.twitter.com/j3TktP54Tf
— Zach Rynes | CLG (@ChainLinkGod) April 19, 2020
¿DeFi está débil a nivel de seguridad?
Un usuario afirmó que la vulnerabilidad permitió que el hacker lograra colaterales ilimitados y luego pudo agotar la piscina de liquidez al pedir un préstamo. Sobre la solidez del ecosistema de protocolos, el CEO de dForce afirmó:
No hubo ningún exceso en el pasado, ni siquiera durante el Jueves Negro, el lendf liquidó más de un millón de préstamos y fue el servicio de préstamos de mejor rendimiento.
Si miran nuestra cartera, la mayor parte de los préstamos con garantía no de la empresa, están por encima del 160% de cobertura de garantía, por lo que se necesitará una caída drástica del 40% para no colateralizar posiciones significativas.
Los antecedentes
El esquema no es nuevo. En 2016, USD $ 60 millones en Ether fueron sustraídos de DAO usando un mecanismo similar. Incluso, la auditoría de ConsenSys de hace 16 meses, mencionada en el hackeo a Uniswap, discutió la vulnerabilidad en profundidad, lo que causó gran malestar ahora entre la comunidad DeFi al no tomarse los correctivos. Esto, aun sabiendo de sus resultados.
El sector DeFi ha recibido varios golpes en los últimos meses, a pesar de las cifras de crecimiento en valor bloqueado en la aplicación DeFi Pulse. La plataforma MakerDAO experimentó pérdidas importantes después de la caída repentina en los precios de las principales criptomonedas, el 12 de marzo. El evento, ahora conocido como “Jueves Negro”, provocó una falla en los sistemas de la plataforma, lo que causó las pérdidas.
Lendf.Me, lanzado en septiembre, se convirtió en el séptimo mercados de DeFi más grande por valor bloqueado en DeFi Pulse hasta el momento del ataque.
El 15 de abril, dForce había anunciado una ronda de financiación de USD $ 1,5 millones dirigida por Multicoin Capital. La inversión contó con la participación de Huobi Capital y China Merchants Bank International (CMBI), división de inversión de uno de los bancos más grandes de China.
Fuentes: DeFi Pulse, U.Today, Cryptobriefing, Cryptoglobe, CoinTelegraph.
Reporte de Arnaldo Ochoa / DiarioBitcoin.
Imagen de Pixabay
ADVERTENCIA: Este es un artículo de carácter informativo. DiarioBitcoin es un medio de comunicación, no promociona, respalda ni recomienda ninguna inversión en particular. Vale señalar que las inversiones en criptoactivos no están reguladas en algunos países. Pueden no ser apropiadas para inversores minoristas, pues se podría perder el monto total invertido. Consulte las leyes de su país antes de invertir.
Artículos Relacionados
DeFi
Hacker de Mango Markets fue declarado culpable por fraude y manipulación de mercado
DeFi
Uniswap se acerca a los USD $3.000 millones en volúmenes de operaciones diarias
DeFi
UNI cae 20% tras la amenaza de demanda del regulador de EEUU
DeFi