Otro día, otro ataque a Binance Smart Chain. La red blockchain apenas ha visto una semana sin un ataques de flash loan en los últimos dos meses. El último está en Belt Finance, una plataforma DeFi que, según los expertos, perdió dinero por la misma explotación de flash loan que sufrieron sus predecesores. Hace solo dos días, BurgerSwap perdió más de $7 millones por un exploit similar en lo que ahora se está convirtiendo en una tendencia profundamente preocupante.
El ataque a Belt Finance
El incidente de Belt Finance fue un ataque de libro de texto, con algunos ajustes menores, según Rekt Blog, un sitio que detalla los hacks de DeFi. El atacante aprovechó una valoración de acciones incorrecta que lo ayudó a agregar otro nivel a la “ahora infame temporada de explotación de flash loans en la BSC”.
Rekt agregó:
“Sin embargo, otro tenedor de un tenedor salió de la cinta transportadora con $6.3 millones cayendo directamente en las manos del pirata informático. A pesar de que se trata de un ataque un poco más sofisticado que algunos de los sucesos anteriores, todos los sellos familiares están presentes”.
El ataque, como muchos otros, comenzó con la adquisición de BUSD, la moneda estable de Binance, de otra plataforma DeFi, esta vez PancakeSwap. Según los analistas de seguridad, los atacantes obtuvieron 8 flash loans de PancakeSwap por $385 millones en total. Luego explotaron la estrategia ‘Elipsis’ de la bóveda de BeltBUSD, ya que era la menos suscrita. Después de eso, filtraron los fondos a través de la estrategia Venus.
Elipsis es un intercambio descentralizado que permite a los usuarios intercambiar monedas estables en BSC con un deslizamiento bajo, mientras que Venus es la plataforma DeFi líder en BSC.
Mudit Gupta, un desarrollador central de SushSwap, se sumergió profundamente en el ataque. Según él, la cantidad perdida para los piratas informáticos fue mucho más de lo que se reveló inicialmente. Puso los fondos robados en $13 millones.
Él explicó:
“La forma en que funciona la bóveda de estrategias múltiples de beltBUSD es que tiene un equilibrio objetivo para todas las estrategias. Cuando alguien deposita dinero, lo deposita en la estrategia con menos suscripción. Cuando alguien retira dinero, lo retira de la estrategia más suscrita”.
El ataque BurgerSwap
Hace apenas unos días, otra plataforma BSC fue atacada, perdiendo más de $7 millones. El atacante se llevó $3.2 millones en tokens BURGER, $1.6 millones en tokens BNB envueltos y $1.4 millones en Tether de BurgerSwap.
El ataque a BurgerSwap tuvo lugar el 28 de mayo, reveló la plataforma en Twitter. Se robaron alrededor de $7.2 millones en el ataque en el que los atacantes crearon su propia moneda falsa y formaron un nuevo par comercial con el token BURGER.
BurgerSwap se había vuelto bastante popular en BSC, ya que se lanzó el año pasado. Es un clon de Uniswap v2, lo que significa que su código es casi idéntico al de v2. Sin embargo, como reveló el fundador de Uniswap, Hayden Adams, los desarrolladores de BurgerSwap emitieron una línea crucial de código que es responsable de asegurar los fondos de liquidez.
El token de BurgerSwap se cotiza actualmente a $6,57, por debajo del máximo histórico de $25,18 que alcanzó el 3 de mayo. Su volumen ha perdido alrededor del 30% desde el ataque.
BSC: Estamos siendo objetivo
En medio del aumento de los ataques a las plataformas DeFi en Binance Smart Chain, el proyecto blockchain afirma que los ataques están dirigidos a proyectos en su ecosistema. BSC recurrió a Twitter para reconocer el desafortunado aumento de los ataques de préstamos flash en su blockchain. Afirmó que “los piratas informáticos bien organizados están apuntando al BSC ahora. Es un momento muy desafiante para la comunidad de BSC”.
BSC pidió a los creadores de dApp que se adhieran a una serie de medidas para reforzar su seguridad. Uno de ellos es trabajar con auditores internos para verificar el código. Los desarrolladores también deben monitorear sus plataformas en tiempo real y pausarlas cuando detecten alguna anormalidad.
Las dApps de BSC también deben planificar un plan de contingencia en caso de que ocurra lo peor. Para garantizar aún más que se detecten las lagunas antes de que los atacantes las exploten, deben planificar un programa de recompensas.
La advertencia a los desarrolladores se produce días después de que un representante de Binance declarara que el intercambio no puede hacer mucho para recuperar las criptomonedas que roban los atacantes. Samy Karim estuvo hablando en la Conferencia de Consensus recientemente, declarando:
“BSC es una infraestructura pública sin permisos, por lo que cualquiera puede implementar proyectos allí…. No es posible de la forma en que mucha gente piensa que haya algún tipo de reversión”.