Hazaña “imposible” de hacker extrae $500.000 del protocolo DeFi Impossible Finance

Un hacker extrae $500.000 del protocolo DeFi Impossible Finance

El protocolo de finanzas descentralizadas Impossible Finance sufrió un hack que lo despojó de 500.000 dólares en una hazaña “imposible”, según expertos en ciberseguridad.  Los investigadores del equipo de seguridad WatchPug, enfocado en el análisis de contratos inteligentes, explican que el hacker del protocolo DeFi Impossible Finance hizo lo “imposible” para extraer los fondos de los usuarios.  

En primer lugar, el atacante solicitó un préstamo flash por 233,3 BNB en el protocolo PancakeSwap. Luego intercambió los fondos por un total de 65.140 IF, el token nativo del protocolo Impossible Finance. Y creó un token falso llamado AAA (BBB) que usó para engañar y manipular un grupo de liquidez dentro del protocolo. 

Los investigadores destacaron que el atacante realizó un “hazaña imposible” al ejecutar varios intercambios seguidos por prácticamente el mismo precio. Operaciones que eran inviables debido al deslizamiento. 

¿Cómo lo hicieron en Impossible Finance?

Para ejecutar su hazaña, los investigadores de WatchPug señalaron que el token falso tenía un diseño especial para llamar la función swap del contrato inteligente antes de que el router llamara a la función cheapSwap. Como la llamada swap del token falso ocurrió antes de la llamada cheapSwap, los intercambios pudieron realizarse aproximadamente al mismo precio. 

Los  investigadores de WatchPug explican que el código fuente de Impossible Finance fue modificado, al igual que el de BurgerSwap. La función que verifica que el contrato obtuvo suficientes tokens de entrada necesarios para realizar el intercambio fue suprimida del código. 

“El contrato inteligente original de Uniswap incluye una verificación importante que hace cumplir x * y = k. (Esta) falta en la función cheapSwap (de Impossible Finance). Si falta la verificación K, lo imposible ahora es posible”.

A través de un préstamo flash

Hace unas semanas, Impossible Finance cerró una ronda de financiación de 7 millones de dólares, en la que participaron 125 empresas e inversores de la industria. La propuesta del protocolo Impossible Finance  es construir una incubadora de proyectos para ayudar a expandir el ecosistema DeFi dentro de la BSC. 

El ataque de Impossible Finance ocurrió, como ya es común en DeFi, a través de un préstamo flash. El atacante explotó la vulnerabilidad presente en el protocolo por la modificación del código fuente. Lo que permitió al atacante introducir un token falso para manipular uno de los fondos de liquidez de los usuarios dentro del protocolo y extraer los fondos. 

Con el hack a BurgerSwap, las DeFi de BSC pierden $90 millones en mayo

En Twitter, el desarrollador de SushiSwap, Mudit Gupta, señaló que el ataque había ocurrido de forma similar sucedido en BurgerSwap a finales de mes de mayo. Tanto Impossible Finance, como BurgerSwap, son protocolos DeFi que se ejecutan sobre la Binance Smart Chain (BSC), la blockchain de escalabilidad desarrollada por Binance. 

En su mensaje, Gupta se pregunta por qué si el protocolo BurgerSwap había sido hackeado por 7,2 millones de dólares hace unas semanas con este mecanismo de ataque, los protocolos bifurcados no habían corregido la vulnerabilidad. 

“Si el proyecto original fue hackeado, ¿por qué no reaccionan las bifurcaciones?”

BurgerSwap es un protocolo que “replica” a Uniswap, aunque sus desarrolladores eliminaron 1 línea de código esencial de este. En su momento, Hayden Adams, fundador de Uniswap, explicó que esta línea de código impedía que los fondos fueran drenados del protocolo “de manera trivial”. Al no existir dicha línea, los hackers pudieron manipular el protocolo y extraer los 7,2 millones de dólares sin dificultad. 

Más de $200 millones perdidos en BSC en 2021

La alta frecuencia con la que sufren ataques los protocolos DeFi de la BSC, ha provocado perdidas de 201 millones de dólares en este ecosistema en lo que va de año. 

Hackeo a Pancake Bunny, segundo ataque con préstamo flash en 4 días en la BSC

Uno de los hacks más grandes en la BSC fue el de Uranium Finance. El protocolo perdió cerca de 50 millones de dólares en una vulnerabilidad de seguridad explotada durante su migración a una nueva versión. Pancake Swap, con pérdidas de 45 millones de dólares para sus usuarios. Meerkat Finance, se dejó 31 millones de dólares en un “tirón del alfombra” ejecutado por los propios desarrolladores. Spartan Protocol se quedó sin cerca de 30 millones de dólares y bEarn sufrió pérdidas de 10,8 millones de dólares durante un ataque de préstamo flash. 

Otros protocolos de la BSC que sufrieron vulnerabilidades este año fueron Bogged Finance, FinNexus, BurgerSwap, Pancake Bunny, TurtleDEX, BeltFinance y DoDo. Con pérdidas de más de 34 millones de dólares. 

También puedes seguirnos en nuestros canales de Telegram y Twitter.

Jennifer Maldonado
Comparte esto:
Esta web utiliza cookies. Puedes ver aquí la Política de Cookies. Si continuas navegando estás aceptándola   
Privacidad