Los malos actores siguen acechando DeFi: los exploits de Euler y Poolz Finance, los últimos ejemplos

Más de 3.800 millones de dólares en activos digitales – si se contabilizan los casos no reportados – se perdieron a varios grupos de actores malintencionados que aprovecharon vulnerabilidades en plataformas de contratos inteligentes el año pasado. El informe de Chainalysis que destaca esta alarmante estadística señaló además que la mayor parte de esta suma estaba asociada al nicho de finanzas descentralizadas (DeFi), etiquetando efectivamente al sector como un caldo de cultivo de atacantes. SlowMist, otra firma de seguridad blockchain, resaltó en su informe anual sobre incidentes de seguridad cripto que 2022 registró el mayor número de incidentes de seguridad que afectaron a blockchains. Se reportaron un total de 303 casos de compromisos de seguridad, una cifra un 28 % mayor que en los años anteriores. Mientras tanto, la estimación de pérdidas agregadas rondó los 3,77 mil millones de dólares, una discrepancia justificable respecto a otros reportes.

Los exploits de DeFi no están disminuyendo

El informe de SlowMist indicó que los exploits involucraron principalmente phishing y rug pulls, mientras que los puentes cross-chain recibieron golpes severos. Los exploits en los puentes de Ronin, Wormhole, Nomad y Harmony resultaron en pérdidas que superaron los 1 200 millones de dólares. Además de los sistemas cross-chain, los atacantes también prefirieron explotar vulnerabilidades de contratos DeFi. La industria parecía estar recuperándose del problema generalizado hacia finales del año.

Comparación de pérdidas en blockchain. Fuente: SlowMist

CertiK, por separado, observó que los robos de diciembre, por 62,2 millones de dólares, fueron la cifra mensual más baja de 2022, el mismo año en que FTX Wallet y Ronin Bridge perdieron un total combinado de 1,09 mil millones de dólares en cripto. 15,5 millones de dólares, casi una cuarta parte del total de robos de cripto, fueron sustraídos mediante estafas de salida, mientras que los exploits de préstamos relámpago generaron pérdidas de 7,6 millones de dólares. Los incidentes de diciembre fueron encabezados por la pérdida de 15 millones de dólares de Helio Protocol como efecto en cadena del exploit de precio de Ankr Reward Bearing Staked BNB (aBNBc). La firma de auditoría de contratos inteligentes también detalló que el ataque a los productos V1 y V2 de Defrost Finance provocó una pérdida de 12,9 millones de dólares, que ya ha sido devuelta. Bitkeep perdió 8 millones de dólares, un trabajo interno dejó a Ankr con un déficit de 7 millones, y Lodestar perdió 6,5 millones de dólares tras un exploit del precio del token plvGLP de PlutusDAO, completando los cinco principales hacks observados el mes pasado.

A mitad de marzo, este año ya ha mostrado señales de superar la frecuencia de exploits del año pasado y los fondos acumulados perdidos a manos de hackers.

Préstamos sin custodia: Euler Finance sufre el mayor hackeo de 2023

En una reciente muestra de estas preocupantes acciones, un(os) atacante(s) desviaron casi 200 millones de dólares en activos cripto del protocolo de préstamos Euler Finance el 13 de marzo en un caso de ataque de préstamo relámpago que luego se confirmó. CertiK Alerts, la página de seguimiento de hacks y estafas asociada a CertiK, fue una de las primeras en informar sobre los desarrollos, aunque en ese momento se habían sustraído alrededor de 41 millones de dólares. La página de alerta actualizó posteriormente que el atacante había drenado los stablecoins descentralizados del protocolo y tokens sintéticos ERC‑20 por un valor aproximado de 198 millones de dólares en múltiples transacciones, incluyendo 96 800 ETH y 43,6 millones de DAI, convirtiéndose en el mayor exploit de DeFi del año hasta ahora.

El(los) actor(es) enviaron los activos robados a dos carteras: una que contiene 34 186 225 DAI y 88 752 ETH, y la otra con aproximadamente 88 77 507 tokens DAI, según muestran los datos en cadena. El protocolo basado en Ethereum declaró que había involucrado a equipos de seguridad blockchain, incluidos TRM Labs, Chainalysis y otras agencias de aplicación de la ley, para ayudar a abordar el asunto. PeckShield, que alertó a Euler sobre el drenaje, compartió en otra breve nota que había identificado la causa. El atacante explotó específicamente un error al ejecutar la función ‘donateToReservers ()’ para liquidarse del protocolo, reembolsar el préstamo y simultáneamente obtener una ganancia.

Euler aborda la vulnerabilidad, trabajando para recuperar los fondos sustraídos

Los esfuerzos colaborativos finalmente lograron detener el exploit desactivando el módulo vulnerable y, consecuentemente, bloqueando los depósitos, pero el daño se había extendido a más de una docena de otros protocolos. Balancer reveló que el incidente afectó al pool Boosted USD (bbe‑USD) de Euler Finance – casi dos tercios de su valor total bloqueado fueron drenados cuando se ejecutó la resolución para pausarlo. Angle Protocol también actualizó a sus seguidores sobre la exposición al exploit, ya que su módulo central había asignado algunos fondos en Euler, Compound y Aave.

“Si los fondos del hackeo (17,614,940.03 USDC) se perdieran definitivamente, el TVL del módulo Core caería a aproximadamente 18,4 millones de dólares. Si los fondos del hackeo (17,614,940.03 USDC) se perdieran definitivamente, el TVL del módulo Core caería a aproximadamente 18,4 millones de dólares. En este caso, la cantidad de reservas en el módulo Core sería inferior al valor de los reclamos de los tenedores de agEUR, de los Proveedores de Liquidez Estándar y de los agentes de cobertura restantes en el protocolo, en su conjunto.”

Yearn Finance también informó haber perdido fondos en el hackeo. Sherlock, un equipo de auditoría con vínculos previos a Euler, verificó la causa del exploit. En sus informes, el equipo culpó a una auditoría realizada por otro grupo, WatchPug, en julio de 2022 por no identificar la vulnerabilidad. Para los próximos pasos de recuperación, el equipo del protocolo de préstamos presentó una especie de oferta a los hackers, prometiendo ofrecer una recompensa si los perpetradores no respondían. Dicha recompensa de 1 millón de dólares ha sido anunciada públicamente desde entonces.

“Euler Foundation está lanzando una recompensa de 1 millón de dólares con la esperanza de que esto proporcione un incentivo adicional para obtener información que conduzca al arresto del atacante del protocolo Euler y a la devolución de todos los fondos extraídos por el atacante,” publicó Euler hoy.

La plataforma de visualización y análisis de blockchain Meta Sleuth opinó en un tweet que el ataque está relacionado con un ataque previo donde el atacante transfirió fondos desde la BNB Smart Chain (BSC) a Ethereum usando un puente multichain.

“Parece que dos atacantes lanzaron 6 transacciones de ataque. El atacante 0x5f25 lanzó el primer ataque, obteniendo una ganancia de ~8,8 M DAI. Todas las ganancias permanecen en el contrato de exploit 0xebc2. La financiación inicial proviene de FixedFloat y del explotador de token deflacionario 6 en BSC. El atacante 0xb269 lanzó los otros cinco ataques, y la ganancia total es ~186 M USD. Ahora todas las ganancias permanecen en dos direcciones. 0xb269 posee 8 080 ETH, 0xb66cd posee 88 752 ETH y ~34 M DAI. La financiación inicial de este atacante proviene de Tornado Cash,” teorizó la cuenta.

La postulación fue respaldada por otra cuenta, ZachXBT. Las carteras y direcciones vinculadas a los exploits son 0xebc291[…] cbf99, que posee aproximadamente 8 877 507 DAI, 0xb269[…] cedd4, cuyo snapshot mostró un saldo de 8 080,97 ETH, y 0xb66c […]995db, que tenía aproximadamente 88 753 ETH y 34 186 226 DAI.

Plataforma de crowdfunding de proyectos Web3 Poolz Finance explotada

Al cabo de apenas dos días después del incidente de Euler, otro hacker robó 390 000 dólares del launchpad de crowdfunding Web3 cross-chain Poolz Finance en Polygon y Binance Smart Chain. Una revisión del 15 de marzo de PeckShield detalló que la actividad sospechosa en el contrato inteligente de vesting de tokens indicaba un ‘problema clásico de desbordamiento aritmético’ como causa. Poolz compartió una actualización sobre el incidente, aconsejando a los usuarios que dejaran de operar con el token POOLZ. Además de señalar la dirección en cuestión, el equipo de desarrollo del launchpad también retiró liquidez de Pancakeswap y Uniswap.

El CEO de Poolz Finance, Guy Oren, confirmó en un tweet los esfuerzos continuos para lanzar un nuevo contrato de tokens mientras proyectaba que el comercio estaría activo antes de que termine el día. Cabe destacar que los dos incidentes ocurren apenas un mes después de que Platypus, otro protocolo DeFi, fuera explotado por 8,5 millones de dólares, lo que provocó una breve pérdida de paridad de su stablecoin USP respecto al USD. En el caso de Platypus, los actores aprovecharon una vulnerabilidad en la verificación de solvencia de USP para drenar el protocolo. La semana pasada, Hedera reveló que había experimentado problemas técnicos que ocultaban una pérdida de tokens de pools de liquidez cuando un hacker explotó el código del contrato inteligente de la mainnet.

Hedera y Dogecoin: Último ejemplo de vulnerabilidades en blockchains

El valor total bloqueado (TVL) de Hedera cayó a finales de la semana pasada después de que la red fuera golpeada por dificultades técnicas que algunos teorizaron involucraban un exploit de contrato inteligente. Los datos de DeFi Llama muestran que el TVL de la plataforma disminuyó drásticamente en menos de 24 horas tras los informes de que la cadena sufría irregularidades técnicas que afectaban a varias aplicaciones descentralizadas.

Gráfico TVL de Hedera. Fuente: DeFi Llama

La Fundación HBAR, una organización sin fines de lucro que respalda el proyecto Hedera, dijo que la red estaba registrada con anomalías de contratos inteligentes que afectan a aplicaciones descentralizadas.

Los protocolos en Hedera urgen a los usuarios a tomar precaución

Las irregularidades técnicas del 10 de marzo fueron descritas por algunos como un ataque a la red de nivel empresarial, lo que dejó a los protocolos en ella buscando seguridad. SaucerSwap Labs, un exchange descentralizado (DEX) que opera en Hedera, instó a sus usuarios a retirar su liquidez de inmediato debido al presunto exploit que ocurría en la red. El protocolo más tarde confirmó que no se vio afectado por dicho hackeo. El exploit apuntó específicamente al proceso de descompilación de contratos inteligentes de Hedera, que es responsable de transformar el bytecode del contrato en un código más comprensible similar a Solidity. Es útil para estudiar y comprender el funcionamiento de un contrato inteligente.

No obstante, los actores malintencionados también pueden manipular este proceso para obtener acceso no autorizado al contrato inteligente, aunque los elementos específicos que el atacante supuestamente apuntó en este caso no se comprenden completamente. Además, Hashport dijo que estaba suspendiendo temporalmente sus servicios de puente debido a las irregularidades de los contratos inteligentes, tomando esta medida para proteger la seguridad de los fondos de los usuarios. El DEX multichain Pangolin instó a los usuarios a retirar cualquier token HTS en los pools y farms de Pangolin. Hedera decidió trabajar con las partes del ecosistema para determinar el posible impacto de la anomalía. Para garantizar aún más la seguridad de sus usuarios, Hedera desactivó los proxies de red en la mainnet mientras el equipo central investigaba las irregularidades de los contratos inteligentes, restaurándolos después de que se resolvieron los problemas. Confirmó que la medida no afectó al consenso y que la mainnet sigue en línea.

Para obtener más información sobre Hedera, consulte nuestra guía Invertir en Hedera.

Los informes resaltan debilidades en el ecosistema DeFi

Un informe reciente de la firma de seguridad blockchain Halborn reveló que hasta 280 cadenas, incluido Dogecoin, han estado operando mientras presentan una vulnerabilidad crítica. En un informe del 13 de marzo, la firma advirtió que había identificado la vulnerabilidad en una evaluación previa del código abierto de la red Dogecoin en 2022. El proyecto de meme coin compartió que resolvió el posible problema de zero‑day en su versión Core 1.14.5 después de recibir una alerta de Halborn, cuyos servicios adquirió en marzo pasado, para revisar su base de código.

La firma identificó otra brecha en la ejecución remota de código RPC (Remote Procedure Call) que afecta a mineros individuales en Dogecoin. Los desarrolladores de la red han instado desde entonces a los usuarios a actualizar al nodo 1.14.6. Halborn indicó que Litecoin y Zcash fueron redes destacadas afectadas por otras variantes del error corregido, que los estafadores y explotadores podrían haber aprovechado para ejecutar amenazas más graves. Los dos proyectos también trabajaron con la firma de seguridad para abordar las vulnerabilidades principales.

Para obtener más información sobre estos proyectos, visite nuestras guías Invertir en Dogecoin y Invertir en Zcash.