Por Hannah Pérez  

Después de extraer USD $ 24 millones, el hacker devolvió USD $2,5 millones. El equipo de Harvest Finance ha ofrecido una recompensa de USD $100.000 para atrapar al atacante.

***

Este lunes por la mañana (UTC) el protocolo de finanzas descentralizadas (DeFi) Harvest Finance sufrió un ataque de préstamo flash (flashloan) que extrajo un total de USD $24 millones. 

Harvest Finance (FARM) es un protocolo de yield farming o agricultura de rendimiento similar a YFI. Este recopila rendimientos de diferentes protocolos de préstamos y los optimiza para obtener mayores ganancias para los depositantes. 

Según explicó el equipo de desarrolladores anónimos de la plataforma a través de Twitter, el atacante aprovechó una técnica de arbitraje utilizando un gran préstamo flash para extraer los fondos. Los flashloans o préstamos flash son préstamos sin garantía: permiten a los usuarios pedir prestados fondos instantáneamente de un grupo de liquidez, siempre que el dinero se devuelva en el mismo bloque de transacción.

Como otros ataques económicos de arbitraje, éste se originó con un gran flashloan, y manipuló los precios de un préstamo de dinero (curva y pool) para drenar otro préstamo de dinero (fUSDT, fUSDC), muchas veces. El atacante entonces convirtió los fondos en renBTC y luego los cambió a BTC“.

En pocas palabras, la manipulación de precios en el exchange de liquidez de Curve Y permitió al atacante drenar los fondos de Harvest Finance en las stablecoins: Farm USDT (fUSDT) y Farm USDC (fUSDC). El atacante luego convirtió estos tokens en renBTC -un token respaldado por Bitcoin dentro de la red de Ethereum- y finalmente irse con Bitcoin.

Recompensa de USD $100.000 para dar con el atacante de Harvest Finance 

El ataque se realizó en un tiempo récord de 7 minutos, según indicó el equipo de desarrolladores, lo que “no les dio suficiente tiempo de respuesta”. 

Posteriormente, en un cambio inesperado de eventos, el atacante devolvió alrededor de USD $ 2,5 millones al equipo de Harvest Finance en forma de las stablecoins Tether (USDT) y USD Coin (USDC).

Actualmente, el grupo de Harvest está “trabajando activamente en el tema de mitigar el ataque económico a los grupos de stablecoin y BTC“. De hecho, los desarrolladores han trabajado en alianza con el protocolo RenBTC para identificar las direcciones de Bitcoin donde se transfirieron los fondos. 

Con esa información, el grupo ha solicitado a intercambios como Binance, Coinbase y Huobi que bloqueen las direcciones del atacante e impidan que pueda liquidar los fondos.

Asimismo, han informado que tienen cantidad significativa de información de identificación personal sobre el atacante”, y aseguraron que se trata de un sujeto “que es bien conocido en la comunidad de criptografía“.

También están ofreciendo una recompensa de USD $100.000 por atrapar al atacante. “Estamos poniendo una recompensa de 100k para la primera persona o equipo que llegue al atacante y ayude al atacante a devolver los fondos a la dirección de despliegue”, escribió Harvest Finance en un tuit y añadió:

No estamos interesados en intimidar al atacante, su habilidad e ingenio es respetado, solo devuelva los fondos a los usuarios”.

Precio de FARM cae 65% tras el ataque

El ataque a la plataforma DeFi provocó que el token nativo de Harvest Finance, FARM, cayera un 65% en menos de una hora. De los USD $233, el precio de FARM descendió a USD $ 76 en menos de 60 minutos. Actualmente, el precio de la moneda muestra signos de recuperación, ubicándose en los USD $ 105.

Lanzado en agosto, Harvest Finance todavía tiene USD $ 568 millones en depósitos bloqueados de usuarios en su protocolo. Esa cantidad superó los mil millones de dólares justo antes del ataque, según reseñó el medio The Block.

El hackeo además se produce un día después de que el analista de DeFi Chris Blec advirtiera que Harvest es un protocolo centralizado, ya que sus administradores poseen una “clave de administrador que puede drenar fondos“.

De cara al reciente ataque, Blec comentó a The Block que no se podía descartar un trabajo interno ya que “nadie conoce los contratos inteligentes mejor que los desarrolladores anónimos“.

Esta no es la primera vez que los fondos y la seguridad de un protocolo DeFi se ven comprometidos. Como reportó DiarioBitcoin a principios de septiembre, la plataforma de operaciones y préstamos basada en apalancamiento bZx fue victima de su tercer ataque este año. Los atacantes se llevaron USD $ 8 millones en diferentes criptomonedas debido a una brecha de seguridad que se originó por una línea de código que permitía a los atacantes clonar iTokens.


Lecturas recomendadas


Fuentes: The Block, Twitter, Cointelegraph, Coindesk

Versión de Hannah Estefanía Pérez / DiarioBitcoin

Imagen de Unsplash