No hay duda de que las finanzas descentralizadas (DeFi) han sido fundamentales para el ecosistema Ethereum durante el año pasado. Pero desafortunadamente, este uso para la segunda cadena de bloques más grande por la capitalización de mercado de su cripto subyacente no viene sin su propio conjunto de fallas.
Los informes indican que el 18 de abril, un protocolo líder fue pirateado por una gran suma de Ether y una versión tokenizada basada en Ethereum de Bitcoin.
Según el desarrollador de blockchain y el especialista en DeFi Julien Bouteloup, un atacante logró drenar un grupo basado en Uniswap (un mercado), y ganó más de $300.000 en ETH y una versión tokenizada basada en Ethereum de Bitcoin, imBTC, en el proceso:
“El grupo TokenIon de imBTC en Uniswap ha sido atacado y drenado. El simple vector de ataque en Uniswap les permitió robar más de $300.000 en ETH + BTC”, escribieron.
imBTC @tokenlon pool on @Uniswap has been attacked & drained🔥
Simple attack vector on ERC777 (with arbitrary code execution during transfer fct) on Uniswap to steal >$300k (#ETH+#BTC)
The vulnerability was described 16mths ago: https://t.co/a3AiJyY969 https://t.co/MKC2jNP1Y4 pic.twitter.com/cXOVu6le3P
— Julien Bouteloup (@bneiluj) April 18, 2020
Aunque aún no se ha publicado una autopsia del evento, Bouteloup afirmó que el exploit que permitió al usuario deshacerse de una suma tan grande de criptomonedas se explicó en una auditoría del protocolo de Uniswap basado en Ethereum hace 16 meses.
Según una publicación de GitHub que revela los detalles de la auditoría, el exploit involucra a un atacante que crea un “intercambio falso” que se asemeja al intercambio original.
A partir de ahí, el atacante puede manipular Uniswap para que el precio de un activo sea muy barato en el grupo original, lo que le permite despertar con monedas a un precio mucho más bajo que su valor real de mercado.
En este caso, la moneda robada era un Bitcoin tokenizado, imBTC.
Esta no es la primera vez que sucede en una app DeFi
Esto está lejos de ser la primera vez que un usuario obtiene grandes ganancias al aprovechar los errores en los protocolos DeFi basados en Ethereum en los últimos meses.
En febrero, el protocolo bZx sufrió dos ataques con solo unos días de diferencia. Los dos ataques no fueron exactamente iguales, pero la esencia de ambos es la siguiente:
- Un usuario sacó un “préstamo flash” de una gran suma de ETH de bZx. Un préstamo flash es donde un usuario toma prestado y devuelve el capital prestado en la misma transacción.
- El ETH se usó para comprar otro activo basado en Ethereum.
- El usuario implementó la manipulación para cambiar la forma en que otros protocolos ven el precio de dicho activo basado en Ethereum, lo que permite obtener ganancias debido a los oráculos de precios que registran los valores falsos.
Los ataques vieron a los usuarios de bZx perder $300.000 y alrededor de $650.000, por un total de casi $ 1 millón.