Cómo un genio hacker ganó 350.000 dólares explotando las DeFi
Un protocolo "descentralizado" utiliza ahora su clave de administración para rescatar los fondos perdidos. Y esto muestra el mayor problema con el ecosistema de las DeFi.
Un comerciante inteligente ha explotado varios protocolos en el espacio de las finanzas descentralizadasfinanzas descentralizadas (DeFi) para obtener la impresionante cifra de 350.000 dólares en ganancias.
Como informó ayer Decrypt, un ingenioso conjunto de instrucciones —todas ejecutadas en una gran transacción— permitió que alguien aprovechara las debilidades actuales del ecosistema de DeFi para su propio beneficio. Utilizando varias herramientas, y una pequeña dosis de manipulación de precios, este misterioso personaje se llevó a casa cientos de miles de dólares en Ether.
El 2020 ha probado ser prometedor para el trading de criptomonedas pero podría marcar el momento clave para la explosión de la industria de las finanzas descentralizadas (DeFi), con un número importante de nuevos desarrollos y un volumen cada vez mayor de Ether invertido como garantía del crecimiento de este ecosistema.
Un reporte publicado por CoinGecko con los datos más importantes del mercado de criptomonedas para 2019 reveló que, si el año pasado fue interesante para la industria, 2020 prome...
Julien Bouteloup, fundador de la empresa de inversión DeFi Stake Capital, ha reunido esta imagen para mostrarEtherEther lo complicada que fue la transacción de varias capas. Y expone a grandes rasgos lo que ocurrió:
Especificó que un préstamo rápido de 10.000 ETH fue probablemente el culpable. La mitad se destinó a la plataforma de préstamos Compound para pedir prestado Wrapped BTC (una versión de Bitcoin en Ethereum). El resto fue garantía para abrir una posición corta - apostar a que el precio bajará - en BTC en la plataforma de comercio con apalancamiento Fulcrum.
La cuenta luego vendió el wBTC en la plataforma descentralizada de intercambios Uniswap. El precio bajó, por lo que el hacker cerró la posición con un beneficio y devolvió el préstamo inicial.
Pero el hacker no sólo ha expuesto cómo una variedad de herramientas de DeFi pueden ser utilizadas juntas para obtener un beneficio poco ético, sino que también ha destacado lo centralizadas que están algunas de estas plataformas.
Fulcrum utiliza su "clave de administración"
Ayer, bZx, que mantiene el protocolo de Fulcrum, publicó una actualización de la situación. Afirmó que ninguno de los usuarios de su plataforma ha perdido dinero.
"Todos los usuarios tienen cero pérdidas. Anoche hubo un ataque ampliamente reportado que tuvo lugar contra nuestro protocolo. Desde la perspectiva del protocolo, alguien simplemente pidió un préstamo. Desde la perspectiva del prestamista, este préstamo es como cualquier otro", tuiteó.
Funds are SAFU:
1/*All users have ZERO losses*. Last night there was a widely reported attack that took place against our protocol. From the perspective of the protocol, someone simply took out a loan. From the perspective of the lender, this loan is like any other.
La plataforma continuó diciendo que el atacante dejó 600.000 dólares de Wrapped Bitcoin en sus sistemas. Agregó que planea tomar este dinero y distribuirlo entre algunos de sus usuarios.
Pero, para hacerlo, necesitará usar su "clave de administrador".
"Actualmente hay 600k de garantía de wBTC dejada por el atacante. Usaremos esto para hacer fluir el interés y la liquidez de salida a los actuales poseedores del iETH. Esto se hará usando nuestra clave de administración. Esta es una decisión extremadamente difícil para nosotros que no tomamos a la ligera", añadió bZx.
El CEO de Coinninja.com, Larry Harmon, fue detenido por las autoridades de los Estados Unidos por cargos que lo involucran presuntamente en un esquema de lavado de dinero a través de herramientas de anonimidad de tokens y transacciones en varios mercados de la darknet.
Coin Ninja es conocida por desarrollar Dropbit, una wallet de Bitcoin compatible con Lightning Network. La walletadquirió popularidad por hacer posible la transferencia de monedas entre personas conociendo su usuario de Twitter si...
Esencialmente, esta clave de administración está muy integrada en el protocolo y permite a bZx controlar cualquiera de los contratos inteligentes, donde se guardan los fondos, como último recurso. El propósito de la clave de administración es precisamente para uno de estos momentos, donde algo ha ido mal y hay mucho dinero en juego.
Pero la clave de administración es la prueba de que hay un punto débil a nivel de centralización y que los usuarios tienen que confiar en el equipo detrás de la plataforma y esperar que no les roben su dinero. Considerando que todo el propósito del DeFi es quitar esta confianza, ésta parece ser una debilidad de peso.
No es sorprendente que los protocolos de DeFi quieran tener un seguro contra fallos. El mayor experimento del Ethereum, la DAO, que en un momento dado contenía casi el 14% del suministro total de Ethereum, se rompió debido a un fallo en dos líneas de código.
Como resultado, toda la blockchain de Ethereum fue reescrita para que todos pudieran recuperar su dinero; socavando la red, atrayéndo críticas y crando una bifurcación en la cadena.
Esta vez, Fulcrum usará su clave de administración para salvar el día, pero al exponer cuán centralizado está realmente el sistema.
Y eso crea más preguntas que respuestas.
Daily Debrief Newsletter
Start every day with the top news stories right now, plus original features, a podcast, videos and more.
Los hackeos de finanzas descentralizadas (DeFi) se han convertido en un "trabajo de tiempo completo" para los atacantes profesionales, según el fundador de la firma de seguridad blockchain ImmuneFi.
Hablando con Decrypt en el Web Summit 2024, el fundador de ImmuneFi, Mitchell Amador, dijo que los hackeos de DeFi se han convertido en "un negocio infinitamente sostenible y viable", aunque el ecosistema cripto es "indudablemente" más seguro.
Según, Amador, los hackers de DeFi, están "buscando causa...
La industria de las criptomonedas ha temido durante mucho tiempo el día en que las computadoras puedan descifrar blockchains y derribar redes como Bitcoin y Ethereum; ese día podría estar más cerca de lo que piensan, pero incluso a la velocidad de los supercomputadores actuales, solo las computadoras cuánticas podrían tener ese potencial.
La semana pasada, investigadores del Laboratorio Nacional Lawrence Livermore anunciaron que su último supercomputador, El Capitan, es capaz de realizar 2.79 cu...
Apple confirmó el lunes que sus dispositivos quedaron expuestos a una vulnerabilidad que permitía la ejecución remota de código malicioso a través de JavaScript basado en la web, abriendo un vector de ataque que podría haber afectado a los usuarios de criptomonedas.
Según un reciente aviso de seguridad de Apple, los usuarios deben usar las últimas versiones de su software JavaScriptCore y WebKit para parchar la vulnerabilidad.
El error, descubierto por investigadores del grupo de análisis de ame...
