Por Hannah Pérez  

Una autopsia del ataque reveló que la omisión de una línea crucial en el código de BurgerSwap fue lo que permitió al atacante drenar un total de USD $7 millones. 

***

Otro protocolo de finanzas descentralizadas (DeFi) basado en Binance Smart Chain (BSC) ha sufrido un ataque.

En esta oportunidad, fue el intercambio descentralizado (DEX), BurgerSwap (BURGER), el que sufrió este viernes un ataque de préstamos rápidos (flash loans) por parte de un actor externo. De acuerdo con la información compartida por el equipo del protocolo, el atacante se llevó USD $7,2 millones tras el hackeo.

Alrededor de las 3 de la madrugada del 28 de mayo (UTC+8) #urgerSwap, en la cadena BSC, se encontró con un ataque de préstamo flash. Se robaron 7,2 millones de dólares de BurgerSwap en un total de 14 transacciones.

 

Cabe señalar que los préstamos flash son préstamos financieros basados ​​en Blockchain en los que se toman prestadas grandes cantidades de tokens, se utilizan para algún propósito y se reembolsan, todo en la misma transacción.

BurgerSwap omitió una línea clave en su código

El núcleo del ataque se centró en que los atacantes crearon su propia “moneda falsa“, un token BEP-20 no estándar, y formaron un nuevo par comercial con BURGER en el intercambio, según explicó el equipo.

En medio del ataque se robaron cantidades variables de siete criptomonedas diferentes, incluidos USD$ 3,2 millones en tokens BURGER, USD$ 1,6 millones en Wrapped BNB (WBNB) y USD$ 1,4 millones en Tether (USDT). 

Como en casos similares, el atacante habría aprovechado una falla del protocolo para explotarlo a través de flash loans. Según Hayden Adams, fundador del intercambio descentralizado Uniswap, el ataque solo fue posible porque al intercambio le faltaba una línea clave de código que debió haber estado ahí. 

BurgerSwap se lanzó a fines de 2020 como un clon del intercambio descentralizado Uniswap (V2). Sin embargo, una autopsia del ataque reveló que la omisión de la línea crucial de código diferenciaba a Uniswap de BurgerSwap. Algunos usuarios de las redes sociales han especulado, a raíz de esta información, que los desarrolladores de BurgerSwap podrían haber coordinado el ataque.

Como resultado, el atacante pudo utilizar el protocolo para realizar dos transacciones cuando solo debería haber podido realizar una. Entonces, en un ejemplo, cuando pidieron prestados 6.000 WBNB, pudieron usar los tokens para convertirlos en 8.800 WBNB (algo que el protocolo debería haber evitado).

Después de pagar el préstamo, se quedaron con un alijo de tokens restantes. Este mismo ataque se usó varias veces en 14 transacciones diferentes. 

Ataques ‘flash loans’ son cada vez más comunes

Ahora, el hacker ha comenzado a utilizar el protocolo Nerve para vender los tokens y transferirlos a la cadena de bloques Ethereum, reveló el investigador Igor Igamberdiev de The Block Research.

El equipo de BurgerSwap anunció que estaba “trabajando en el problema” y que había suspendido la generación de más tokens para evitar más pérdidas el viernes por la mañana. Nos esforzaremos por cubrir todas sus pérdidas […] Entendemos lo que más le importa a la comunidad. El plan de compensación detallado está en camino“, añadió en tweets separados. 

El ataque es el último de una serie de exploits en protocolos de finanzas descentralizadas que aprovechan los flash loans para drenar grandes cantidades de dinero. Como reseñó DiarioBitcoin, la semana pasada, el protocolo BunnySwap de BSC sufrió un ataque similar que logró extraer USD $45 millones y tumbó el precio del token BUNNY en un 90% en cuestión de minutos.

Más recientemente, esta semana, un ataque drenó USD$ 3 millones, o la mitad de la liquidez total, de la plataforma DeFi de BSC, Bogged Finance, según informó Cointelegraph.

Otros protocolos del Blockchain de Bianance, como Uranium Finance y Meerkat Finance, también han sufrido hackeos en los últimos meses. Solo este año, las pérdidas totales por ataques a los proyectos de Binance Smart Chain se traducen fácilmente en decenas de millones de dólares.


Lecturas recomendadas


Fuentes: The Block, Cointelegraph, archivo

Versión de Hannah Estefanía Pérez / DiarioBitcoin

Imagen de Unsplash