El protocolo DeFi de Harvest Finance fue pirateado el lunes pasado por $24 millones de dólares. El atacante vio una debilidad en los fondos de liquidez del protocolo, y realizó un ataque de arbitraje utilizando un gran préstamo flash (sin garantía), aunque luego devolvió $2.5 millones de dólares.
El atacante se hizo con el dinero en tan solo siete minutos, empleando préstamos flash para convertir $17 millones de USDT en USDC a través de Curve, lo que elevó temporalmente el precio del USDC a $1.01.
Posteriormente, el hacker usó otro préstamo flash de unos $50 millones de dólares, que el sistema consideró que valía $50,5 millones, para ingresar a la bóveda de USDC de Harvest Finance. Luego, el atacante revertiría la operación anterior de USDC a USDT para equilibrar el precio.
Después, canjearía inmediatamente sus acciones de los grupos de Harvest Finance para recibir $50.5 millones en USDC, con una ganancia neta de $500,000 por ciclo. Esta operación fue repetida suficientes veces para obtener $24 millones en botín.
Harvest Finance reveló que el pirata informático manipuló los precios, para luego drenar el dinero, en un ataque que se realizó muchas veces. Minutos más tarde, el atacante convirtió los fondos a renBTC y salió a Bitcoin.
RenBTC es un token respaldado por bitcoins que se utiliza en el blockchain de Ethereum. Obviamente tras esta manipulación del protocolo DeFi de Harvest Finance, su token nativo Farm, cayó un 54% a 101,79 dólares con la noticia ese mismo día.
Después del ataque, la cantidad de dinero bloqueada en el protocolo también se redujo a $575 millones de dólares desde $1 mil millones de dólares que había el 25 de octubre, cuando los inversores inquietos retiraron sus depósitos.
Ahora, una semana después del ataque, ahora la cantidad de dinero en el protocolo DeFi de Harvest Finance según DeFi Pulse, es de $329.3M, recuperándose brevemente del duro golpe, mientras que el precio del Token Farm, ahora es de 95.33 USD.
Flashloan attacker’s 10 BTC addresses:
— Harvest Finance (@harvest_finance) October 26, 2020
1Paykw4s2WX4SaVjDrQkwSiJr16AiANhiM
1Paykw4s2WX4SaVjDrQkwSiJr16AiANhiM
1HLG86DDEzAxAGmEzxr1SUfPCWcnWA6bMm
14stnrgMFNR4LesqQRUdo5n1VUx9xdAMeg
18w2Bm2cCsbLjWQU9BcnjzK8ErmzozrVa3
1/2
Lo cierto es que, Harvest Finance ha hecho público, una lista de 10 direcciones de Bitcoins del atacante, donde cree que los fondos robados pueden haber sido movidos. También pidió a los intercambios como Binance, Coinbase y Huobi entre otros que bloqueen estas direcciones.
Por lo pronto, es que Harvest Finance indica que hay una «cantidad significativa de información de identificación personal sobre el atacante, que es bien conocido en la comunidad criptográfica», por lo que ahora Harvest Finance ofrece una recompensa de $100,000 «por la primera persona o equipo que se acerque al atacante».
Igualmente, la plataforma DeFi de Harvest Finance indicó que los $2.5 millones devueltos por el pirata informático quedaron para ser distribuidos entre los depositantes afectados prorrateado sus pérdidas.
Sin embargo, luego de una semana tras el incidente, hay muchos análisis, muchas opiniones, sobre que estuvo mal o no, no obstante, todos concuerdan que en este caso, no hubo vulnerabilidades involucradas, sino un gran aprendizaje al momento de diseñar el DeFi.
En todo caso, lo que sí ocurrió es que posiblemente no se pensó que en las «operaciones de arbitraje» habría un pequeño resquicio para que cualquiera con conocimientos se aprovechara cuando el precio de estas stablecoins se desvía demasiado de su valor previsto para sacar ganancia.
Además, ese atacante para llevar a cabo su operación, necesitó usar varios ciclos para explotar la jugosa ganancia que se llevó y que se pudo haber detenido, lo cual fue una simple pero efectiva manipulación del mercado, que fue repetida para que en siete minutos sacara beneficio.
En todo caso, estos bloques de construcción financieros, llamados también «Lego del dinero», deben diseñarse muy bien, antes de ser lanzados para evitar que cualquiera con amplios conocimientos pueda explotarlos a voluntad como ocurrió en este caso.
Este nuevo hack se produce solo seis semanas después de que un atacante se hiciera con $8.1 millones de dólares en Bitcoins de otro protocolo DeFi, el de la plataforma Bzx, aunque en ese momento, si se logró recuperar los fondos.
Si bien es cierto, actualmente según DeFi Pulse, hay al menos unos $11.16 mil millones de dólares invertidos en el DeFi, y existe una confianza creciente que este es el futuro de las criptomonedas, lo cierto es que se debe ser muy cuidadoso al momento de seleccionar una plataforma DeFi.
Artículo cortesía de:
Blockctrendy, Últimas Noticias e Historias Destacadas, Últimas noticias mundiales, Historias virales, Tecnología, Blockchain y más!