En su cuenta de Twitter, el protocolo DeFi de la Binance Smart Chain (BSC), Spartan Protocol, anunció que había sido víctima de un exploit, en el que perdió 30 millones de dólares de sus bóvedas.
What we know so far –
*Attacker used $61m in BNB to overcome the pools via a as yet unknown economic exploit path to remove roughly $30m in funds from the pools.Reach out if you can help identify and analyse the exploit.https://t.co/aNTvdzKOeF
— Spartan Protocol (@SpartanProtocol) May 2, 2021
La explicación de los desarrolladores de Spartan apunta hacia una vulnerabilidad presente en un grupo de liquidez del protocolo. Que le permitió a un hacker utilizar 61 millones de dólares en tokens Binance Coin (BNB) para manipular el protocolo y extraer los fondos.
Antes de su lanzamiento, el protocolo fue auditado por la firma Certik, pero ahora el equipo de Spartan pone en duda la garantía o confiabilidad del análisis de los auditores. Dicen que podían haber pasad por alto ciertos fallos y errores. No obstante, en Twitter, los desarrolladores insinuaron que podrían conocer la vulnerabilidad de seguridad que el hacker explotó.
“El código tenía una falla, fue auditado, pero un hacker no ético lo explotó”.
Unas semanas antes del exploit, la compañía anunció que estaba realizando pruebas a la actualización de ContractV2. Para garantizar que el protocolo estuviera libre de errores y fallos iniciales que pudieran arriesgar los fondos, antes de migrar a su versión V2.
Spartan, DeFi y BSC
Según los informes post-mortem, realizados por los investigadores de seguridad de PeckShield, el ataque ocurrió debido a un cálculo defectuoso en uno de los grupos de liquidez del protocolo. Al parecer, el hacker lo usó para explotar el error y drenar activos del protocolo.
PeckShield manifiesta que el hacker conocía el error en el grupo SPARTA/WBNB y que utilizó un préstamo flash para realizar una serie de operaciones seguidas para manipular el grupo de liquidez y extraer los fondos.
Las finanzas DeFi sufren robos por valor de $100 millones en lo que va de año
El préstamo flash fue solicitado a PancakeSwap, el DEX más popular de la BSC. En total, el hacker utilizó 100.000 tokens WBNB que cambió por tokens SPARTAN y otros activos de Binance varias veces dentro del grupo vulnerable en Spartan Protocol. En cada intercambio de WBNB por SPARTAN, el hacker manipuló e infló los saldos. Lo que le reportó importantes ganancias.
Durante los intercambios, el hacker quemó los tokens equivalentes dentro del grupo y el resto lo retiró como liquidez, repitiendo el proceso varias veces. El hacker logró extraer $18,9 millones en WBNB, $7,8 millones en SPARTA, $1,3 millones en BUSD-T, $1,3 millones en BTCB y 900K en BUSD. En total, las perdidas en Spartan Protocol ascendieron a 30,2 millones de dólares al momento del exploit. Luego devolvió el préstamo tomado de 100.000 WBNB más 260 WBNB de comisión a PancakeSwap.
Al conocerse los detalles del ataque, el precio de SPARTA se desplomó un 40%. Ayer, 1 de mayo, el valor del token estaba a 1,73 dólares. Después de informar el exploit, el precio cayó hasta los 1,05 dólares. No obstante, al momento de esta edición, SPARTA cotiza a 1,77 dólares.
Un caso común en BSC
Esta no es la primera vez que un exploit, conocido por los desarrolladores de un proyecto, es explotado justo antes de activar una actualización o migración con la que se solucionaría el error detectado.
El protocolo Uranium Finance, también desarrollado sobre la Binance Smart Chain, perdió 50 millones de dólares de su liquidez, depositada por los inversores y usuarios, recientemente. En el informe, los desarrolladores explican que el exploit lo causó una vulnerabilidad presente en el código. Que fue explotada justo antes de completar la migración del protocolo a su versión 2.1.
(1/2)‼️ Uranium migration has been exploited, the following address has 50m in it The only thing that matters is keeping the funds on BSC, everyone please start tweeting this address to Binance immediately asking them to stop transfers.
— Uranium Finance (@UraniumFinance) April 28, 2021
Según el administrador del canal de Uranium en Telegram, la vulnerabilidad de seguridad que ponía en riesgo los fondos almacenados era conocida solo por el equipo de desarrolladores y auditores. Muchos usuarios e inversores comenzaron a sospechar que se trata de una nueva estafa ejecutada en la BSC.
Anterior a Uranium Finance, los desarrolladores de los protocolos DeFi Meerkat Finance y TurtleDEX también desaparecieron con cerca de 33,5 millones de dólares de los usuarios. El primero, Meerkat Finance, supuestamente fue víctima de un hackeo donde perdió fondos por valor de 31 millones de dólares, pero los desarrolladores, inmediatamente de informar el supuesto ataque, cerraron todas las páginas webs y redes sociales del proyecto. Dejando a los usuarios completamente desamparados ante tal estafa.
Los hackeos y el coronavirus ponen las DeFi en cuarentena
Lo mismo ocurrió con TurtleDEX, que tras asegurar que una estafa o EXIT SCAM sería imposible, drenaron los fondos que los usuarios habían depositado unas horas antes. El modus operandi de los desarrolladores de TurtleDEX fue similar al de Meerkat. El equipo cerró todas las cuentas y páginas web del protocolo sin aviso ni escrúpulo alguno. Las estafas de Meerkat Finance y TurtleDEX ocurrieron a solo 24 horas de haber iniciado operaciones.
Los hack más grandes de DeFi
Los hacks ocurridos en la Binance Smart Chain son algunos de los más grandes ocurridos en la industria DeFi hasta ahora. Según la clasificación del portal Rekt, el de Uranium Finance clasifica como el segundo exploit más grande del ecosistema cripto. Alpha Finance, en Ethereum, aparece como el cuarto exploit más significativo. Meerkat Finance y Spartan Protocol aparecen en el quinto y sexto lugar, respectivamente.
Un informe reciente de Messari señala que los hacks de DeFi desde 2019 hasta febrero de este año superan los 280 millones de dólares. Mientras que los hacks ocurridos solo en la Binance Smart Chain superan los 100 millones de dólares en lo que va de año.
También puedes seguirnos en nuestros canales de Telegram y Twitter.
- Los bancos más importantes del mundo ya ofrecen bitcoin y criptomonedas - 16 noviembre, 2023
- HairDAO, la DAO que financia la investigación de la alopecia - 24 mayo, 2023
- La tokenización de activos alcanzará $4 billones en 2030, según Citi - 31 marzo, 2023