Por Hannah Pérez  

Según informes, el ataque se presentó durante la migración de tokens v2.1 debido a errores en los contratos. Sin embargo, algunos usuarios sospechan que se trate de una estafa.

***

Uranium Finance, una plataforma de finanzas descentralizadas (DeFi) basada en Binance Smart Chain (BSC), reportó haber sufrido un hackeo que derivó en la pérdida de USD $50 millones.

En un tweet publicado este miércoles, la plataforma de creación de mercado automatizada (AMM) reveló que el ataque informático fue dirigido a su evento de migración de tokens v2.1. El equipo de Uranium solicitó a los usuarios reportar el hackeo a Binance con el objetivo de impedir que los fondos cambien de cadena de bloques.

La migración de Uranium ha sido vulnerada, la siguiente dirección tiene $50 millones en ella. Lo único que importa es mantener los fondos en BSC, todo el mundo por favor comience a twittear esta dirección a Binance inmediatamente pidiéndoles que detengan las transferencias”.

El protocolo DeFi también informó que estaba en contacto con el equipo de seguridad de Binance para mitigar la situación. En el mismo hilo de tweets, solicitaron a los hackers ponerse en contacto con la plataforma para “llegar a un acuerdo” antes de que la situación “pase a mayores“.

Lanzado a inicios de mes, Uranium Finance es un protocolo de creador de mercado automatizado (AMM). Surgió de la bifurcación de Uniswap V2, y pretende ofrecer dividendos diarios a sus usuarios.

Hackers se llevan USD $50 millones

El equipo detrás del protocolo no ha aclarado qué fue exactamente lo que salió mal durante la migración de tokens. De acuerdo con el analista Igor Igamberdiev, de The Block Research, los contratos de pares en la versión V2 de Uranium tenían un error. Él explicó, citado por el portal de noticias The Block, que varios tokens, incluidos Bitcoin y ether, fueron drenados del protocolo.

Por su parte, un informe de Cointelegraph añadió que el hacker supuestamente se habría aprovechado de los errores en la lógica del modificador de saldo de Uranium, que infló el balance del proyecto por un factor de 100. Esta falla fue la que permitió al atacante sustraer un total de USD $50 millones del proyecto.

El investigador de The Block halló que se sustrajeron específicamente 80 bitcoins (USD$ 4,3 millones), 1.800 ETH (USD$ 4,7 millones), 17,9 millones de BUSD (USD$ 17,9 millones), 5,7 millones de USDT (USD$ 5,7 millones), 638.000 ADA (USD$ 0,8 millones), 26.500 DOT (USD$ 0,8 millones), 34.000 wrapped BNB (USD $ 18 millones), y 112.000 tokens U92, un token nativo de Uranium.

Datos de BSCscan, el explorador de bloques para BSC, muestran que el atacante ha cambiado los tokens ADA y DOT por ETH, aumentando el alijo de Ether a aproximadamente 2.400 ETH (USD $ 6,4 millones). Asimismo, informes indican que uno de los temores del equipo de Uranium ya está sucediendo, pues los autores materiales del robo han empezado a mover fondos fuera del ecosistema BSC.

De acuerdo con Cointelegraph, los 2.400 ether se están moviendo utilizando la utilizando la herramienta de privacidad de Ethereum Tornado Cash. Mientras tanto, datos de Etherscan, muestran que el atacante ha estado realizando transacciones en sumas de 100 ETH; y está utilizando el puente de intercambio descentralizado AnySwap para migrar fondos desde BSC a la red Ethereum.

Transacciones por lotes de 100 ETH – Datos de Etherscan.io

No es el primer ataque de Uranium, ¿sospechoso?

Curiosamente, el repositorio de contratos de uranio también se ha eliminado de GitHub por algunas razones desconocidas.

Cabe señalar que este no es único ataque que ha experimentado la plataforma en su corta historia dentro del ecosistema DeFi. A principios de abril, los piratas informáticos vulneraron uno de los grupos de la plataforma y robaron alrededor de USD$ 1.3 millones en BUSD y BNB

En ese momento, el equipo de desarrollo de Uranium asumio la responsabilidad del incidente y se disculpó con la comunidad de usuarios. En una entrada de blog escribieron que habían “aprendido de sus errores” y que el protocolo sería auditado públicamente. De hecho, este incidente fue el que provocoó la primera migración a la versión 2 hace menos de dos semanas.

Algunos usuarios se han mantenido escépticos ante el incidente más reciente, sugiriendo que podría tratarse de un ataque interno. Para algunos resultó extraño que el protocolo haya decidido actualizar tan solo 11 días después de desplegar la versión 2 de sus contratos -que ya habían sido auditados-, y teniendo en cuenta un hackeo previo.

Los hackeos a protocolos DeFi no son inusuales. De hecho este no es le primer ataque que sufre una plataforma descentralizada basada en BSC. A mediados de marzo, PancakeSwap y Cream Finance sufrieron un ataque de secuestro de DNS.

En marzo, Meerkat, un clon de Yearn.Finance basado en BSC, supuestamente estafó a sus usuarios, robando USD$ 31 millones en el proceso. Aunque luego se reveló que se trataba de una “prueba“. TurtleDex, otro proyecto basado en BSC, también resultó ser un scam poco después de su lanzamiento, llevándose más de 9.000 tokens BNB recaudados durante la preventa.


Lecturas recomendadas


Fuentes: Twitter, Cointelegraph, The Block

Versión de Hannah Estefanía Pérez / DiarioBitcoin

Imagen de Unsplash