Las finanzas descentralizadas (DeFi) a veces han sido criticadas como el “salvaje oeste” de la criptoindustria. Si los $ 2.32 mil millones robados de múltiples protocolos en lo que va del año podrían usarse como una descripción precisa del estado de DeFi hoy, entonces los críticos se están riendo los últimos.
Se argumenta que comenzó con el lanzamiento de Bitcoin en 2009, DeFi realmente despegó en 2020 con el lanzamiento de la llamada estrategia de inversión de “cultivo de rendimiento” de Compound Finance.
Ahora, se están utilizando miles de aplicaciones descentralizadas, o dApps. DeFiLlama informes que más de $ 53,73 mil millones del valor total están bloqueados en DeFi, cifras tan jugosas que han llamado la atención de actores no deseados: piratas informáticos.
Hackeando el sistema
DeFi es una parte de la criptomoneda que, en general, se ha mantenido fiel al espíritu fundamental de Bitcoin de descentralización y privacidad, manteniendo un desapego cínico de la supervisión gubernamental. Sin embargo, sin control, tales libertades conllevan un gran riesgo.
De acuerdo a Para la firma de seguridad de blockchain PeckShield, los piratas informáticos han robado más de $ 2.32 mil millones en más de 135 exploits, de la industria DeFi en lo que va del año. La cifra es un 50% superior a lo robado a todo el sector para todo 2021.
A lo largo de los años, los ladrones en línea han empleado una variedad de tácticas para llevar a cabo su trabajo. Los métodos de ataque más utilizados incluyen honeypot, exit scam, exploit, control de acceso y préstamo flash, dice el Base de datos REKT. Aquí están las diez principales hazañas de DeFi de 2022 hasta el momento, según la selección de PeckShield.
Red Ronin: Pérdida – $620 millones
Ronin Network, la cadena lateral basada en Ethereum para el criptojuego Axie Infinity, fue estafada en marzo por más de $620 millones en ETH y USDC. El atacante “utilizó claves privadas pirateadas para falsificar retiros” del contrato del puente Ronin en dos transacciones.
El exploit, que ocurrió el 23 de marzo, solo se descubrió una semana después cuando un usuario no pudo retirar 5,000 ether. En total, el hacker se hizo con 173.600 ETH y 25,5 millones de USDC, valorados en más de 620 millones de dólares en ese momento.
El hackeo de Ronin Network se considera el hackeo de DeFi más grande de la historia. Sigue siendo el más grande en lo que va del año, dice PeckShield.
Puente Wormhole: pérdida: $ 320 millones
El 2 de febrero, un atacante desvió más de USD 320 millones en ETH envuelto del protocolo Wormhole, un popular puente criptográfico de cadena cruzada entre Solana, Ethereum, Avalanche y otros.
Se requiere que los usuarios de Wormhole apuesten a Ethereum para obtener ETH envuelto en menta, un tipo de criptografía que está vinculada al precio de Ethereum.
La firma de análisis Elliptic culpó del exploit a la falla de Wormhole para validar las cuentas “tutoras”. permitiendo al atacante acuñar 120,000 wETH sin respaldo de ethereum. El hacker luego intercambió 93,750 wETH por ethereum y el resto por Solana. El valor total de la pérdida superaba los 320 millones de dólares en ese momento.
Puente nómada: Pérdida – $ 190 millones
El 2 de agosto, los piratas informáticos extrajeron alrededor de $ 190 millones en criptomonedas de Nomad, una herramienta que permite a los usuarios intercambiar tokens de una cadena de bloques a otra.
El ataque comenzó con una actualización del código de Nomad. Una sección del contrato inteligente se marcaba como válida cada vez que los usuarios realizaban una transacción. Esto permitió a los malos actores retirar más activos de los que se depositaron en la plataforma. Los piratas informáticos repitieron el proceso hasta que se sacaron $ 190 millones en criptografía del puente. Nomad nunca se enteró hasta que fue demasiado tarde.
Beanstalk Farms: pérdida de $ 182 millones
En abril, un atacante extrajo USD 182 millones en criptomonedas de Beanstalk Farms, un protocolo DeFi destinado a equilibrar la oferta y la demanda de diferentes criptoactivos.
PeckShield dijo que el atacante explotó el sistema de gobierno de voto mayoritario de Beanstalk y votó para enviarse $ 182 millones. El atacante usó un préstamo relámpago para obtener una participación mayoritaria en el protocolo, pero su ganancia real fue de solo 80 millones de dólares, dijo la firma.
Wintermute: pérdida de $ 160 millones
Wintermute es el último protocolo DeFi en ser víctima de los piratas informáticos, que se llevaron $ 160 millones de la sección de finanzas descentralizadas de la plataforma. El director ejecutivo, Evgeny Gaevoy, dijo que el hackeo estaba relacionado con un error crítico en la herramienta de generación de direcciones personalizadas de Ethereum, Profanity.
Dijo que Wintermute usó la herramienta para generar una dirección única a fin de reducir los costos de transacción, nunca por “vanidad”. Un error humano parece estar detrás de este ataque en particular.
Elrond: Pérdida – $113 millones
En junio, los piratas informáticos aprovecharon una laguna en el intercambio descentralizado Maiar para robar alrededor de 1,65 millones de elrond egold (EGLD), el token nativo de la cadena de bloques de Elrond. Los investigadores dijeron que el atacante implementó un contrato inteligente y usó tres billeteras para robar un valor estimado de $ 113 millones en EGLD del intercambio.
Los piratas informáticos vendieron inmediatamente 800 000 tokens por 54 millones de dólares en el mismo DEX, y el resto se vendió en intercambios centralizados o se cambió por ethereum.
Horizon Bridge: Pérdida – $100 millones
Apenas unos días después del exploit de Elrond, los piratas informáticos atacaron nuevamente el 23 de junio. golpeando el puente Horizon por casi $100 millones. Horizon es una plataforma de interoperabilidad de cadena cruzada entre las redes de cadena de bloques Ethereum, Binance Smart Chain y Harmony.
PeckShield reveló que más de $ 98 millones en varios tokens se drenaron de la plataforma administrada por Harmony y se intercambiaron por éter. Más de 50,000 billeteras de usuarios se vieron afectadas. Posteriormente, los piratas movieron 35 millones de dólares a través de Tornado Cash.
Qubit Finance: pérdida: $ 80 millones
El protocolo DeFi dijo el 28 de enero que había sido explotado por un atacante que robó 206 809 monedas binance (BNB) de su protocolo QBridge. En total, los tokens se valoraron en 80 millones de dólares.
Según la empresa de seguridad Certik, el atacante aprovechó una opción de depósito en el contrato QBridge para acuñar 77 162 qXETH, una especie de criptografía utilizada para representar ethereum en puente a través de Qubit. El atacante engañó a la plataforma haciéndoles creer que habían hecho un depósito. Después de repetir el proceso suficientes veces, intercambiaron los activos en BNB y desaparecieron.
Cashio: Pérdida – $ 48 millones
Cashio, un protocolo de moneda estable en Solana, sufrió lo que el equipo llamó un exploit de “falla de menta infinita” en marzo. piratas informáticos desviado $ 48 millones del protocolo, lo que provocó el colapso de la moneda estable CASH de Cashio.
Cashio permite a los usuarios acuñar la moneda estable CASH con todos los depósitos respaldados por tokens de proveedores de liquidez que devengan intereses. El atacante acuñó miles de millones de EFECTIVO y los intercambió por USDC y UST, colapsados, antes de retirarse a través de DEX Saber.
El EFECTIVO vinculado al dólar cayó a $0 después del hackeo. Agresor devuelto dinero a cuentas que tenían menos de $100,000 y prometió donar el resto a obras de caridad. Eso es lo último que escuchamos de eso, el botín de Cashio. EFECTIVO está muerto.
Scream: Pérdida – $38 millones
Plataforma de préstamos basada en Fantom Scream sufrido quizás una de las hazañas más descuidadas en DeFi este año, desde la perspectiva de la seguridad del protocolo. Scream asumió una deuda de $ 38 millones después de que las monedas estables, Fantom USD (fUSD) y DEI, cuyo valor había fijado en $ 1, perdiera paridad.
Debido a que el protocolo había codificado el valor de las dos monedas estables, Scream no mostró una disminución en el valor de los activos. Whales utilizó esta laguna para drenar el protocolo de cualquier otra moneda estable valiosa mientras depositaba el fUSD y el DEI desvinculados.
Un total de $ 38 millones en las monedas estables FRAX, USDT, USDC y MIM se retiraron de la red. Después del incidente, Scream abandonó los precios extremos y cambió a los oráculos de Chainlink para obtener datos de precios en tiempo real. Las ballenas se quedaron con su botín. ¡Buen día de pago para los degens!.
¿Qué pasó con los miles de millones robados?
Bueno, se perdió. Gran parte de ella de forma permanente.
PeckShield dijo que alrededor del 50 %, o USD 1160 millones, del dinero robado de los protocolos anteriores se lavó a través de Tornado Cash, el mezclador de criptomonedas basado en Ethereum sancionado por el gobierno de los EE. UU. en agosto, lo que provocó una fuerte reacción de la criptocomunidad.
Tornado Cash permite a los usuarios de criptomonedas ofuscar el historial de sus transacciones financieras, lo que dificulta su rastreo. Según la agencia de seguridad de EE. UU., el FBI, el mezclador ha sido aprovechado por el grupo de piratas informáticos vinculado a Corea del Norte, Lazarus, para lavar más de $ 7 mil millones en criptomonedas desde 2019.
Mientras los piratas informáticos desaparecían con miles de millones, los protocolos DeFi afectados hicieron una serie de intentos para recuperar su dinero, con poco éxito. Una forma de hacerlo es simplemente rogar al atacante que devuelva el botín obtenido de forma ilícita a cambio de algún tipo de incentivo. O ninguno en absoluto.
Qubit Finance lo intentó y ofreció una recompensa de 2 millones de dólares, el máximo que podía ofrecer por cualquiera de los llamados alegatos de piratería blanca. No funcionó. Harmony también jugó con la misma idea. Ofreció un Recompensa de $ 1 millón por la devolución de los $100 millones robados del puente Horizon y prometió no presentar cargos penales. Los piratas informáticos ignoraron la llamada. No se recuperó nada.
Sin embargo, una estrategia similar funcionó para Poly Network en agosto de 2021, y el atacante devolvió la mayor parte de los $ 600 millones que habían robado.
Esa suerte se extiende a Ronin. A principios de este mes, la red recuperó USD 30 millones del dinero que perdió, con la ayuda de la empresa de criptoseguridad Chainalysis, el Tesoro de EE. UU. y el FBI. Pero eso es solo el 5% de los 620 millones de dólares robados durante el hackeo. El FBI estima que alrededor de $ 455 millones fueron lavados a través de Tornado Cash por Lazarus Group, el presunto atacante.
Los piratas informáticos de Nomad Bridge también devolvieron $ 9 millones a la plataforma un día después de que el puente de cadena cruzada fuera explotado por $ 190,4 millones. Después de una recompensa del 10 % por los fondos devueltos, los piratas informáticos blancos recuperaron otros 32 millones de dólares del total saqueado y los devolvieron al puente de cadena cruzada. El hacker barajó el resto, gran parte de él, entre diferentes direcciones, mientras intentaban desesperadamente conservar la riqueza robada. Lo hicieron.
Wormhole nunca recuperó sus $320 millones. Tuvo que ser rescatado. Jump Trading Group, que tiene una participación en el protocolo, saltó para reemplazar los 120,000 en ETH robados, después de que se corrigió la vulnerabilidad.
Cómo no ser hackeado
Claramente, los puentes de blockchain parecen ser el eslabón más débil en DeFi. Hay formas para que las personas y los protocolos se mantengan seguros.
“Es necesario redactar términos de referencia claros al desarrollar proyectos, cubrir la funcionalidad de los proyectos con pruebas tanto como sea posible para evitar errores lógicos”, dijo a Be Alex Belets, fundador de la firma de seguridad blockchain Smart State.[In]Cripto.
“Utilice escáneres automáticos de vulnerabilidades, no intente implementar cosas para las que existen bibliotecas. Realice auditorías y mantenga sus claves privadas seguras. No use aplicaciones de terceros como Profanity para generar claves privadas (razón del hackeo de Wintermute)”, agregó.
Descargo de responsabilidad
Toda la información contenida en nuestro sitio web se publica de buena fe y solo con fines de información general. Cualquier acción que el lector realice sobre la información que se encuentra en nuestro sitio web es estrictamente bajo su propio riesgo.
