En lo que va de año, las denominadas finanzas descentralizadas (DeFi) han sufrido robos por valor de 100 millones de dólares, la misma cantidad que en todo 2020
Pancake Swap, uno de los exchanges descentralizados (DEX) más usados en Binance Smart Chain, fue víctima de un ataque de suplantación de DNS, tal y como informaron sus desarrolladores a través de Twitter.
https://twitter.com/CakeSwapEs/status/1371479815434436617
En el mensaje, el equipo de Pancake Swap advirtió a los usuarios que la página web del DEX estaba siendo controlada por un hacker. La intención del ciberdelincuente era engañar a los usuarios utilizando el phishing, para convencerles de introducir su frase semilla, o conjunto de palabras claves, al conectar la wallet. Si el hacker lograba que los usuarios introdujeran su frase semilla, tendría acceso al monedero de la víctima y podía robar todos sus fondos. Por suerte, parece que ningún usuario ha sido estafado hasta ahora. Y a las pocas horas de descubrir el ataque, los desarrolladores de Pancake Swap lograron recuperar el control sobre su sitio web.
Las finanzas descentralizadas, denominadas DeFi, cada día cobran más importancia para los inversores pero también resultan de mayor interés para los hackers. Esos turbios individuos con extraordinarias habilidades informáticas que aguardan hasta encontrar una vulnerabilidad que les permita explotar estos protocolos y robar sus fondos.
Cream Finance, víctima como Pancake Swap
Al igual que Pancake Swap, el protocolo DeFi Cream Finance también fue víctima de un ataque de suplantación de DNS. De hecho, los ataques ocurrieron de forma simultánea y bajo la misma metodología. Lo que hace indicar que el mismo hacker fue responsable de los dos ataques.
Cream Finance siendo víctima de un ataque de suplantación de DNS
Los usuarios de Cream Finance también estaban siendo engañados para introducir su frase semilla o palabras claves cuando intentaban conectar una wallet. Afortunadamente, los desarrolladores se percataron del ataque inmediatamente y advirtieron a los usuarios que no utilizaran el sitio web del protocolo. Al igual de Pancake, a las pocas horas del ataque, los desarrolladores de Cream lograron obtener el control de su web nuevamente, parcheando la vulnerabilidad que permitió al hacker sustituir su DNS.
Las DeFi sufrieron hackeos por valor de casi $100 millones en lo que va de año
Finanzas DeFi, robos por valor de $100 millones en lo que va de año
La popularidad y proliferación de las DeFi y los más de 43.00millones de dólares encerrados en sus protocolos al cierre de esta edición, hacen de estos ecosistemas el blanco perfecto para los hackers.
Los robos o hacks a protocolos de finanzas DeFi han ocurrido de diversas formas. Desde exploits en los contratos inteligentes que permiten a los hackers extraer gran cantidad de fondos. Hasta contratos falsos que engañan a los protocolos y ataques de phishing como de Pancake Swap y Cream Finance. Las DeFi han perdido cerca de 100 millones de dólares en lo que va de 2021, a través de 5 hacks conocidos. Una cifra que casi supera a la totalidad de los fondos perdidos en hacks durante 2020.
Alpha Finance, un hack de $37 millones
El protocolo Alpha Finance perdió 37 millones de dólares en un ataque combinado de préstamo flash y contrato malicioso a mediados de febrero. El hacker utilizó un contrato falso para engañar y vulnerar al protocolo. El hack no afectó los fondos de los usuarios, pero creó una deuda de Alpha Homora con Cream V2. Según las investigaciones realizadas por el equipo de Alpha, en colaboración con otros desarrolladores, como Andre Cronje y hackers de cuello blanco, el hack al DeFi resulto un trabajo interno.
Meerkat Finance, desaparecen $30 millones
A principios de mes, el protocolo de rendimiento DeFi de la BSC, Meerkat Finance, supuestamente fue víctima de un hack en el que perdió 30 millones de dólares. Los usuarios denunciaron que los desarrolladores del protocolo habían cerrado todas las cuentas y redes sociales, liquidando los fondos de los usuarios poco después de entrar en funcionamiento. Las denuncias llegaron hasta el CEO de Binance, Changpeng Zhao, para que rastreara el destino de los fondos.
Los expertos llamaron a este supuesto hack, un “Rugpull”. Un término usado en el criptoespacio para referirse a una estafa de salida por parte de los desarrolladores, que vacían los fondos de los usuarios, dejándoles sin nada. Finalmente, los desarrolladores de Meerkat Finance anunciaron que devolverían los fondos. Aunque el canal de Telegram @Meerkatrefunds, por donde se trasmitió el mensaje, fue borrado.
Los hackeos y el coronavirus ponen las DeFi en cuarentena
Furucombo, víctima del engaño
En Furucombo, un protocolo DeFi usado para optimizar las transacciones, un hacker introdujo un contrato falso para manipularlo y extraer fondos por valor de 15 millones de dólares.
Los desarrolladores advirtieron a la comunidad de usuarios que retirasen sus fondos y los pusieran a salvo en otro lugar. Los desarrolladores informaron que implementarían un plan de compensación para devolver los fondos a los usuarios afectados.
Atacada de bóveda yDAI v1 de Yearn Finance
Yearn Finance, uno de los protocolos DeFi de agricultura de rendimiento más populares, con una liquidez de 270 millones de dólares, fue víctima de un exploit en febrero. Uno de los contratos del protocolo DeFi fue vulnerado; permitiendo que el hacker pudiera extraer criptomonedas y stablecoins, como ETH, DAI, USDT y USDC, por valor de 11 millones de dólares. La hazaña se realizó utilizando varias transacciones dentro de los protocolos dYdX, Compound y Curve.
Para compensar a los usuarios afectados, la comunidad de Yearn aprobó una propuesta de acuñación. Con la que se reembolsaron los fondos perdidos.
DODO pierde 3,8 millones y recupera parte de los fondos
Otro de los DeFi afectados por robos en lo que va de año es DODO, el noveno DEX más grande de estos mercados por liquidez. DODO fue víctima de un ataque combinado similar al que sufrió Alpha Finance. El atacante utilizó un contrato malicioso y los préstamos flash para extraer fondos por valor de 3,8 millones de dólares.
Pese a que el ataque fue exitoso, el hack dio un giro inesperado cuando el hacker contactó con los desarrolladores del protocolo para decir que devolvería los fondos. Finalmente, se recuperaron 3,6 millones de los fondos robados. A pesar de ser un exchange descentralizado, los desarrolladores informaron del cierre temporal del portal de creación de piscinas en DODO. Una acción que puede poner en duda la descentralización del proyecto.
Más de 52K en protocolos DeFi
Esta serie de robos está llevando a los desarrolladores finanzas DeFi a implementar nuevas mejoras y actualizaciones que permitan fortalecer el creciente ecosistema. Aunque también es claro que los hackers seguirán perfeccionando sus técnicas y ataques para vulnerar estos protocolos. A pesar de los riesgos, las DeFi continúan creciendo en valor y usuarios.
También puedes seguirnos en nuestros canales de Telegram y Twitter.
- Los bancos más importantes del mundo ya ofrecen bitcoin y criptomonedas - 16 noviembre, 2023
- HairDAO, la DAO que financia la investigación de la alopecia - 24 mayo, 2023
- La tokenización de activos alcanzará $4 billones en 2030, según Citi - 31 marzo, 2023