Criptomonedas, los hackeos DeFi aumentan en abril – Exploit del contrato de Yearn, drenaje de bot MEV, actualizaciones de redención de Euler y Sushi

PeckShield informó temprano el jueves que el protocolo de mercado de dinero sin custodia Aave y la plataforma de yield farming DeFi Yearn Finance habían sido afectados en un exploit. El equipo de seguridad blockchain postuló que un yUSDT mal configurado había provocado la vulnerabilidad, permitiendo al actor malintencionado acuñar una cantidad considerable de yUSDT a partir de $10K USDT.

Yearn Finance involucrado en el último incidente de hackeo DeFi

La evaluación inicial compartida por PeckShield indicó que el individuo/equipo que explotó la vulnerabilidad “mal configurada” para acuñar infinitamente retiró hasta $11 millones en tokens Dai (DAI), Tether (USDT), USD Coin (USDC), Binance USD (BUSD) y Tru USD (TUSD). Una actualización en tweet del responsable de integraciones de Aave, Marc Zeller, confirmó el incidente, aclarando que solo la versión 1 del protocolo, que está congelada desde diciembre de 2022, fue la afectada. El equipo de Yearn Finance también notificó a los usuarios que estaba al tanto del incidente en una publicación separada.

“Estamos investigando un problema con iearn, un contrato obsoleto anterior a Vaults v1 y v2. Este problema parece exclusivo de iearn y no afecta a los contratos o protocolos actuales de Yearn. iearn es un contrato inmutable anterior a YFI, fue descontinuado en 2020. Vaults v1, con estrategias actualizables, también fue descontinuado en 2021. No hay indicios de que esté afectado. La versión actual v2 de Vaults también permanece sin afectaciones.”

De manera notable, el exploit de préstamo flash resultó en un resultado inesperado: el reembolso del USDT de usuarios de Aave, los registros en cadena muestran que varias entidades de seguridad como Otter Sec y otros equipos asociados a Aave colaboraron para desglosar el ataque. La plataforma de seguimiento DeFi Nansen señaló que el actor envió el botín a tres direcciones. Los datos en cadena muestran que el explotador depositó 1000 monedas ETH, representando una porción significativa de los tokens robados, en Tornado Cash, posiblemente para cubrir sus rastros. Una segunda billetera recibió más de 4.7 millones de DAI y 2.5 millones de USDC. El exploit en la plataforma de préstamos Yearn Finance sigue a una serie de incidentes similares reportados en el espacio de finanzas descentralizadas (DeFi) hasta la fecha este año.

Los hackers y estafadores robaron $452 M a inversores en el Q1, con una tasa de recuperación del 29 %

El proveedor de datos blockchain Chainalysis informó previamente que los hackeos en el nicho DeFi representaron el 82 % de las pérdidas de $3.8 mil millones en el sector cripto durante 2022. En una actualización reciente sobre lo mismo, el proveedor de antivirus y aplicaciones De.Fi observó que los cibercriminales saquearon $452 millones en el trimestre recién concluido. Aunque masivo, esta cifra representa una caída significativa respecto a la pérdida de $1.3 mil millones en el mismo período del año pasado. El informe también destacó que casi la mitad de las pérdidas del Q1 ocurrieron en las primeras tres semanas de marzo, con el ataque de préstamo flash a Euler Finance el 13 de marzo resultando en la mayor pérdida del trimestre: $197 millones.

El dúo de plataformas basadas en blockchain BonqDAO y AllianceBlock sufrió un hackeo de contrato inteligente a principios de febrero, perdiendo $120 millones. Mientras tanto, el presunto fraude de $45 millones a inversores de CoinDeal, el ataque de phishing de $16.5 millones de Monkey Drainer y un ataque de préstamo flash de $8.5 millones a Platypus Finance completaron la lista de los cinco principales exploits del trimestre.

Las brechas apuntan a novatos con FOMO

En términos de prevalencia, los exploits de contratos inteligentes fueron el tipo de ataque más común, contabilizando 17 incidentes, seguidos por ocho casos reportados de rug pull. Los exploits de préstamo flash siguieron siendo rampantes, contribuyendo a una pérdida de $200 millones en dicho período. De.Fi también estimó que, en cuanto a vectores de ataque, los tokens fueron la opción preferida por los actores maliciosos: son simples de lanzar y se aprovechan de la vulnerabilidad de los novatos que temen perder oportunidades.

El préstamo y el préstamo fueron un objetivo principal, de modo que aunque representaron solo cinco incidentes, sus pérdidas netas totalizaron $336 millones. BNB fue la mayor víctima entre las cadenas, siendo objetivo en 18 ataques. En cuanto a recuperaciones, $130 millones de fondos robados fueron devueltos a las víctimas, pero sigue siendo una caída respecto a la tasa de recuperación vista el año pasado en el mismo período, 40 % de los $1.29 mil millones.

Exploit relacionado con bug de SafeMoon

En un incidente aislado, la plataforma SafeMoon supuestamente fue comprometida el 29 de marzo mediante una función pública de quema incluida en una actualización recientemente lanzada. El presunto atacante capitalizó esta vulnerabilidad basada en bug para robar hasta 27,000 monedas BNB del pool de liquidez SFM WBNB comprometido. El explotador dejó un mensaje, “Hey relax, we are accidently frontrun an attack against you, we would like to return the fund, setup secure communication channel, let’s talk.” SafeMoon tuiteó la semana pasada que el trading había reanudado en su plataforma.

La actualización del 5 de abril también describió algunas mejoras de tokenómica y comunicó que se había desplegado una interfaz SWaP actualizada.

“Continuamos trabajando en la recuperación de los fondos del LP […] Hemos logrado un gran progreso y seguimos trabajando arduamente para volver a la normalidad para todos nuestros usuarios,” dijo SafeMoon en la comunicación más reciente de esta semana.

Brechas de seguridad DeFi en abril

A principios de este mes, el puente multicanal Allbridge sufrió un ataque el 2 de abril. El hacker utilizó técnicas de provisión de liquidez e intercambio para inflar el precio del pool y robar fondos. Esto fue posible al manipular el precio de intercambio de los pools de BNB Chain de Allbridge actuando tanto como proveedor de liquidez como intercambiador.

Protocolo cross‑chain Allbridge explotado

El auditor de contratos inteligentes CertiK informó que el protocolo cross‑chain perdió hasta $549,874. Por otro lado, la firma de seguridad blockchain PeckShield estimó que se explotaron un total de $573,000 – $282,889 en BUSD y $290,868 en USDT. En ese momento, Allbridge declaró que estaba trabajando con sus socios y la comunidad para rastrear al hacker en redes sociales y asegurar que se le responsabilice. El protocolo ofreció al hacker una recompensa y inmunidad legal si se presentaba como white hat, para incentivar la restitución de los fondos robados.

1,500 BNB devueltos

Al parecer el hacker aceptó la opción y devolvió 1,500 BNB ($465,000), que fueron convertidos a BUSD para ayudar a liquidar a los individuos afectados, mientras que el efectivo robado restante quedó como recompensa de white hat. El equipo de Allbridge también señaló que un segundo atacante utilizó la misma técnica para drenar fondos y aún no ha contactado para discutir el acuerdo – Allbridge había compartido la dirección de billetera de este presunto explotador, con un saldo de 0.97 BNB, equivalente a $302.5. El martes, Allbridge compartió en un tweet que había completado la primera ronda de pagos de recuperación para el lote de solicitudes presentadas hasta el 9 de abril, mientras instaba a quienes tenían problemas pendientes a seguir el proceso de compensación del exploit.

El aftermath del exploit de SushiSwap

En un incidente diferente, la firma de seguridad e inteligencia blockchain PeckShield informó temprano el domingo que SushiSwap había sido explotado, con un individuo, el usuario de Twitter oxSifu, perdiendo aproximadamente $3.3 millones. La firma de seguridad y el Head Chef de SushiSwap, Jared Grey, pidieron a los afectados revocar en todas las cadenas. Además, el ataque aparentemente afectó a personas que habían usado el DEX en los últimos cuatro días. El exploit afectó al contrato “RouterProcessor2” de SushiSwap, que facilita el enrutamiento de operaciones. Según PeckShield, el bug estaba relacionado con el mecanismo “approve”.

‘Bug relacionado con approve’ deja a algunos usuarios de SushiSwap con déficit

Los usuarios que aprobaron este contrato defectuoso permitieron inadvertidamente al explotador retirar tokens de los usuarios sin recibir aprobación del propietario – o “robarlos”, como se suele decir. Según Brad Kay, analista de The Block Research, el atacante inicial, aparentemente un hacker white hat, aprovechó la función “yoink” para explotar el contrato router de SushiSwap por 100 ETH, después de lo cual un segundo individuo aprovechó el mismo contrato para robar aproximadamente 1800 ETH, esta vez usando la función “notyoink”.

Esfuerzos de recuperación

Grey confirmó en una actualización que se habían recuperado más de 300 ETH de los activos perdidos de oxSifu, con planes de recobrar otros más de 700 Ether. El CTO de SushiSwap, Matthew Lilley, también actualizó que varios esfuerzos de rescate continúan y urgió a los usuarios a verificar doblemente sus aprobaciones y escanear para desautorizar cualquier dirección maliciosa que pudiera haber sido permitida para cualquiera de sus tokens. No obstante, aseguró a los usuarios que el Protocolo Sushi es seguro de usar, ya que la exposición a RouterProcessor2 ha sido desactivada desde el front‑end, garantizando que la actividad de proveedores de liquidez y swaps sea segura.

Las víctimas fueron compensadas completamente

El jefe de Sushi declaró en Discord que el equipo pretende lanzar un sitio de reclamos para los tokens adjudicados en el contrato Merkle Distributor del protocolo. El sitio estará activo hasta la fecha de expiración de los reclamos el 23 de abril, después de lo cual los tokens SUSHI no reclamados serán enviados a la tesorería de SushiSwap. En una actualización posterior compartida el miércoles, el exchange descentralizado basado en Ethereum indicó que planea devolver a los reclamantes afectados.

“Si tus fondos están en el contrato whitehat contract, entonces significa que los expertos en seguridad han recogido tus fondos, están seguros y serán reclamables pronto. Si tus fondos no residen en el contrato whitehat, debes enviar un correo electrónico o abrir un ticket en nuestro Discord e incluir: el(los) ID(s) de transacción y los datos de cadena(s) de los fondos perdidos. Los fondos blackhat tardarán más en procesarse, ya que el equipo tendrá que verificar manualmente la legitimidad contra los datos en cadena que validen el reclamo y luego pagarlos en consecuencia,” tuiteó SushiSwap.

Ataque de bot MEV en Ethereum

En otro incidente, un validador rebelde se llevó $25 M tras un exploit de bot MEV en Ethereum el 3 de abril. Varios bots de valor máximo extraíble (MEV), que ayudan a arbitrajistas y traders a optimizar oportunidades de beneficio, fueron víctimas de un ataque complejo que resultó en la pérdida de $25 millones a manos del validador rebelde.

Esto es lo que ocurrió

CertiK explicó que ocho transacciones MEV fueron objetivo, ya que estaban ejecutando operaciones sandwich – que implican detectar traders que intentan adquirir tokens y colocarse entre la operación para obtener ganancia. Con todos estos eventos ocurriendo dentro de un solo bloque de Ethereum – 6964664, CertiK señaló que las operaciones sandwich comenzaron con pocos tokens y, al momento de intercambiar millones, el validador rebelde estaba reemplazando las transacciones inversas.

Un total de $25.39 millones cayó en manos equivocadas, con un desglose publicado por la firma de seguridad que muestra – 64.9 WBTC, 7,460.8 WETH, 5,297,649.9 USDC, 3,027,396 USDT y 1,698,384 DAI. Al momento de escribir, los fondos se encuentran mayormente en tres billeteras. CertiK lo calificó como uno de los mayores exploits de bots MEV jamás vistos, siendo el último hack importante de este tipo en septiembre de 2022, cuando se robaron 800 ETH en ganancias de arbitraje MEV debido a una vulnerabilidad de bot.

Al mismo tiempo, el auditor blockchain OtterSec lo describió como un ataque contemplado, dado que el atacante había precargado su billetera más de dos semanas antes. CertiK determinó que los bots no lograron identificar al validador de nodo como malicioso y atribuyó la debilidad explotada a la centralización de poder entre los validadores.

Flashbots implementó una corrección de funcionalidad

Flashbots, el creador del principal programa MEV de Ethereum, MEV‑Boost, ha tomado medidas para evitar que problemas similares vuelvan a ocurrir. El equipo implementó una nueva funcionalidad que requiere que los relayers (que actúan como intermediarios de confianza entre constructores de bloques y validadores) firmen un bloque y lo publiquen en la Beacon Chain antes de que sea pasado al proponente. Este paso, que antes faltaba, ahora puede ayudar a reducir las probabilidades de que un proponente se desvíe del contenido recibido de un relay. Además, CertiK informó a CoinTelegraph que otros buscadores de MEV podrían mostrarse reacios a participar en estrategias no atómicas, incluido el trading sandwich, ya que parecen ser el objetivo principal.

Las listas negras de Tether vinculadas a un exploit MEV

Esta semana, el emisor de stablecoin Tether escribió en un tweet del 10 de abril que había bloqueado la dirección ‘Sandwich the Ripper’ asociada al reciente exploit MEV. La dirección de Tether contenía $3 millones en USDT, que ya no pueden ser movidos. El explotador posee una suma mayor del botín, incluyendo $14.3 millones en Wrapped Ethereum (WETH) y más de $3.6 millones en otros activos.

Tether parece haber actuado en buen interés y con fundamentos razonables. No obstante, la decisión fue criticada por sectores que creen que la medida establece un “mal precedente” en el espacio cripto. Las acciones de listado de bloque de Tether podrían interpretarse como censura de transacciones, implicando una autoridad centralizada por parte del emisor de la stablecoin. Los críticos señalaron preocupaciones sobre el posible abuso de poder y sus implicaciones para el nicho DeFi.

Euler abre redenciones tras negociar la devolución de todos los fondos robados

Euler Finance anunció esta semana que recibió el último tramo de reembolsos tras negociaciones sobre $197 millones en cripto robados el mes pasado. El protocolo declaró que todos los fondos recuperables habían sido restaurados, poniendo fin al programa de recompensa de $1 millón por información sobre el hack. La firma de análisis blockchain Arkham Intelligence confirmó que el protocolo de préstamos sin permiso recibió 10,580 ETH, equivalentes a $19 millones, el lunes y un adicional de $12 millones en DAI distribuidos en tres transacciones.

Tras el incidente del 21 de marzo, Euler propuso una recompensa de $19.7 millones – equivalente al 10 % del monto robado – al culpable responsable del robo. Además, advirtieron que se otorgaría una recompensa de $1 millón a quien proporcionara información sobre el atacante si el 90 % restante de los fondos robados no era devuelto. Aunque inicialmente lavaron $1.8 millones a través de Tornado Cash, el atacante comenzó a devolver el dinero el 18 de marzo – empezando con $1.8 millones. El explotador continuó enviando fondos, con la mayor devolución siendo una suma única de 58,737 ETH, equivalentes a $102 millones, el 24 de marzo.

Al momento de escribir, se habían recuperado un total de 95,556 ETH y 43 millones de DAI, mientras que una suma de 1,100 ETH se consideró irrecuperable al haber sido enviada al mezclador de monedas sancionado. En medio de todo esto, el hacker se disculpó en una serie de mensajes en cadena hace aproximadamente una quincena y prometió entregar todos los fondos restantes. Los tokens devueltos el lunes elevaron el total de fondos recuperados del hack a más de $177 millones. Esto representa el 90 % de los fondos recuperables esperados después de considerar la recompensa del 10 % ofrecida por el equipo de Euler.

El protocolo de préstamos no custodial basado en Ethereum declaró posteriormente que ha permitido a los usuarios redimir los fondos recuperados, poniendo fin al exploit de préstamo flash que involucró todo tipo de caos. El asegurador DeFi Nexus Mutual, que pagó $2.4 millones en reclamos por sus pérdidas atribuibles al hack, exigió que Euler hiciera un reembolso. Nexus supuestamente respaldó a Euler cubriendo las pérdidas, aunque ningún usuario perdió técnicamente sus activos con la devolución de fondos.

Otros incidentes reportados de brechas de seguridad

MetaPoint, un proyecto de metaverso, informó esta semana que había sido explotado por un atacante que se llevó 2,515 BNB. El hacker envió los fondos a Tornado Cash, según PeckShield. El proyecto de metaverso confirmó el incidente en Telegram, añadiendo que había suspendido todas sus operaciones.

Terraport Finance también parece haber sido víctima de una brecha de seguridad, apenas dos semanas después de su lanzamiento. Informes surgidos el 10 de abril detallaron que la billetera de liquidez del protocolo fue hackeada por 2 millones. Terraport dijo en una actualización que estaba al tanto del incidente y buscaba investigar al emisor después de asegurar la plataforma.

Fuera de DeFi, el exchange cripto surcoreano GDAC informó esta semana dijo que había sido hackeado por casi $14 millones. El exchange suspendió depósitos y retiros temporalmente para llevar a cabo la remediación necesaria, según el CEO Han Seunghwan, confirmando que los fondos perdidos representaban un poco más del 20 % de sus activos custodiales totales. El hacker supuestamente tomó control de algunas de las billeteras calientes del exchange a principios del 9 de abril (hora estándar de Corea) antes de mover los fondos a la billetera que controla. GDAC perdió alrededor de 61 BTC, 350.5 ETH, 220,000 USDT y 10 millones de la moneda de juego WEMIX.

Los servicios de retiro siguen indisponibles: Seunghwan dijo que el exchange está dedicado a investigar el caso y aún no ha formulado un plan para reanudar los servicios actualmente deshabilitados. El ataque a GDAC marca el primer hack importante de un exchange cripto centralizado de este año, ocurriendo poco más de una docena de meses después de que Crypto.com fuera hackeado por más de $15 millones en enero pasado.

HTX y Gala Games comprometieron $50 M para compensar a las partes afectadas por el incidente pGALA

Tras una reciente colaboración entre Gala Games y el exchange cripto HTX para reforzar el ecosistema Web3 de la primera, el dúo anunció un plan para distribuir cripto y licencias de software valoradas en hasta $50 millones a los titulares del token GALA que sufrieron pérdidas en una estafa de token de utilidad en la plataforma el pasado noviembre.

Los dos dividirán equitativamente los $50 millones de compensación a emitir – la parte de HTX será de $25 millones, comprendiendo efectivo y beneficios para usuarios que equivalen a 15 millones de USDT y 10 millones de acciones. Por otro lado, Gala Games emitirá $25 millones en licencias de nodos, y el programa está programado para comenzar esta semana.

El incidente en cuestión involucró a hackers que acuñaron $1 mil millones en pGALA – un token envuelto de GALA emitido por pNetwork en BNB Chain. Al ser los tokens volcados en PancakeSwap, los atacantes pudieron drenar $4.5 millones del pool de liquidez y dañar gravemente el precio del token GALA.

Una demanda contra pNetwork está en camino

El proyecto GameFi inició el mes pasado acciones legales contra pNetwork por su papel en el ataque. La demanda alegó que el incidente causó $25 millones en daños a Gala Games y solicitó $27.7 millones para cubrir los gastos de bolsillo relacionados con la brecha, compensación adicional por lesiones, daños punitivos y otras reparaciones. Además, la plataforma invitó a otras partes afectadas a contactar a su equipo legal para unirse a la búsqueda de compensación. HTX indicó en el anuncio reciente que está apoyando estos esfuerzos. En caso de un veredicto favorable, cualquier daño otorgado, menos los costos legales, será convertido a tokens GALA y posteriormente quemado.