Por Hannah Pérez  

El protocolo de préstamos sufrió un ataque flash loans que resultó en pérdidas de más de USD $25 millones. Cream Finance ya había sido víctima de un hackeo similar en febrero.

***

Cream Finance, un protocolo de finanzas descentralizadas (DeFi) basado en Binance Smart Chain (BSC) y centrado en préstamos, fue víctima de un ataque informático que ha provocado pérdidas superiores a los USD $20 millones.

El equipo de desarrolladores de Cream Finance anunció sobre el hackeo este lunes a través de Twitter. Según la información, el pirata informático se habría aprovechado de un error de reentrada en el contrato de token para AMP, un token de garantía digital respaldado por Consensys que figura en la plataforma.

El mercado C.R.E.A.M. v1 en Ethereum ha sufrido un ataque, lo que ha provocado una pérdida de 418.311.571 en AMP y 1.308,09 en ETH, a través de la reentrada en el contrato de tokens de AMP.“, escribieron y aseguraron:

Hemos detenido el exploit pausando la oferta y el préstamo en AMP. Ningún otro mercado se ha visto afectado.

Al momento de edición de este artículo, la pérdida de los fondos en las criptomonedas AMP y Ethereum se totaliza en USD $26,7 millones, según los precios actuales.

Cream Finance sufre ataque flash loans

Según una investigación de la firma de seguridad Blockchain, PeckShield, el atacante desconocido utilizó un préstamo flash antes de explotar el error de reentrada. La empresa, que dirigió el análisis inicial, detalló los pasos del hacker a través de un hilo de tweets:

El pirata informático realiza un préstamo flash de 500 ETH y deposita los fondos como garantía. Luego, el hacker toma prestado 19M $ AMP y hace uso del error de reentrada para volver a tomar prestado 355 ETH dentro de la transferencia de token de $ AMP. Luego, el hacker autoliquida el préstamo“, explicó PeckShield. El hacker repitió este proceso varias veces para extraer los fondos.

Basado en Ethereum, AMP es un token que está diseñado para garantizar pagos en la red de pagos digitales, Flexa. El contrato de token Amp implementa el contrato inteligente de registro basado en ERC-77, conocido como ERC-1820. Introducido en 2019, el estándar ERC-1820 define un contrato de registro universal donde cualquier dirección “puede registrar qué interfaz es compatible y qué contrato inteligente es responsable de su implementación“.

El equipo de PeckShield dijo al respecto al medio Crypto Briefing que podría haber un “riesgo de composibilidad entre los protocolos de préstamo basados en Compound y los tokens similares a ERC-777“.

Como resultado del evento, tanto AMP como el token nativo de Cream Finance, CREAM, experimentaron una caída de precio notable. El primero se ha derrumbado un 8% en las últimas 24 horas, cotizándose en USD $0,054, mientras que CREAM se cotiza en USD $163, con un descenso cercano a 7%.

Su segundo hackeo en 2021

Los equipos respectivos de Cream Finance y Peckshield todavía están investigando el ataque, aunque adelantaron que pronto se realizará una autopsia.

Esta es la segunda vez en los últimos seis meses que esta plataforma DeFi es víctima de un hackeo. En febrero, Cream Finance perdió cerca de USD $37,5 millones en el que entonces fue catalogado como uno de los mayores ataques de piratería de préstamos flash.

Los ataques de flash loans o préstamos relámpago, que se han vuelto muy populares este 2021, aprovechan una de las características más controvertidas de DeFi: préstamos que no requieren garantía. Los préstamos flash son préstamos financieros basados ​​en Blockchain en los que se toman prestadas grandes cantidades de tokens, se utilizan para algún propósito y se reembolsan, todo en la misma transacción.

El último ataque a Cream Finance se produce en medio de una creciente ola de hackeos a protocolos DeFi, plataformas centralizadas y otros proyectos del espacio Blockchain. Hace unas semanas informamos que el protocolo DeFi Poly Network fue hackeado por USD $600 millones. También el exchange centralizado Liquid Global sufrió un ataque recientemente con pérdidas estimadas en USD $90 millones.


Lecturas recomendadas


Fuentes: CoinDesk, Cointelegraph, Crypto Briefing, CoinDesk, archivo

Versión de Hannah Estefanía Pérez / DiarioBitcoin

Imagen de Unsplash