Los 10 hacks DeFi que debes conocer

Aprender sobre los 10 principales hacks DeFi es una decisión inteligente que puede ayudarte a comprender mejor la historia y el futuro del mercado. El mundo de DeFi (Finanzas Descentralizadas) sigue siendo un sector emocionante y en expansión de la industria blockchain. Estas plataformas únicas y a menudo experimentales se centran en ofrecer más flexibilidad, privacidad y oportunidades de ROI a los usuarios. Para lograr esto, utilizan una estructura descentralizada, lo que puede mejorar la rentabilidad de los usuarios.

El movimiento DeFi está en pleno apogeo, y la tecnología sigue innovando. Sin embargo, este enorme crecimiento ha venido acompañado de algunas notables dificultades de crecimiento. Alrededor de cada nueva tecnología, hay alguien esperando explotar cualquier error, y DeFi no es una excepción. Aquí están los 10 principales hacks DeFi que necesitas conocer.

1. Ronin Network – $625M

En la cima de la lista de hacks DeFi se encuentra un incidente que resultó en la pérdida de más de medio mil millones de dólares. La red Ronin sufrió un hackeo de $625M cuando los infiltrados lograron encontrar una vulnerabilidad en la sidechain. Cabe destacar que la Ronin Network funciona como la vía principal para que los jugadores de Axie Infinity transfieran activos.

Axie Infinity es uno de los títulos play-to-earn más populares disponibles. Los usuarios coleccionan, combaten y crían sus Axies para obtener recompensas. Cada Axie posee características distintas que lo hacen escaso y aumentan su valor.

Los hackers lograron tomar el control de los procesos de retiro de la red al corromper simultáneamente a cinco validadores. Esta maniobra permitió a los atacantes robar fácilmente $25 millones en USDC y 173,600 ETH. Hasta el día de hoy, los fondos no han sido recuperados.

2. Poly Network – $601M

Otro hack DeFi que superó medio mil millones de dólares ocurrió en agosto de 2021. Este ataque compartía similitudes con la Ronin Network en que los hackeos se produjeron en nodos de validación. Los hackers apuntaron específicamente a los nodos contables de los puentes cross-chain para recopilar suficiente información que les permitiera acceder a las claves privadas de la red. Una vez obtenidas las claves, los hackers drenaron rápidamente millones en tokens de Ethereum, Polygon y BNB.

Además, $268 millones en tokens están bloqueados en una cuenta que requiere contraseñas tanto del hacker como de Poly Network. Lo que hace más interesante este incidente es que la Poly network ofreció al hacker $500K e inmunidad si devolvía los fondos. El hacker, por supuesto, rechazó la oferta ya que sería casi imposible garantizar que los funcionarios gubernamentales no decidieran procesar un robo tan audaz.

Es notable que este hack tiene un final feliz, a diferencia de la mayoría de los demás en esta lista. La mayor parte de los fondos fueron devueltos, quedando solo $33 millones sin contabilizar. En una de sus últimas interacciones, el hacker dijo que realizó el robo “solo por diversión”.

3. Wormhole Bridge – $325 million

El Wormhole Bridge es otra triste historia de redes DeFi que fueron hackeadas con pérdidas sustanciales. El puente Wormhole sirve como un puente cross-chain vital para DeFi. El objetivo del proyecto es mejorar la liquidez eliminando puntos de fricción. Específicamente, la red utiliza un proceso llamado wrapping para permitir que los activos se aventuren en otras redes.

En este incidente, los hackers pudieron acceder al mecanismo de liquidez y comenzar a crear tokens envueltos sin ningún depósito. Curiosamente, para lograrlo, usaron monedas acuñadas en la blockchain de Solana. Los ETH envueltos en Solana sumaron más de 93,750 tokens. Desde allí, los hackers intercambiaron rápidamente los activos por ETH directamente.

4. Nomad Bridge – $190M

El hack del Nomad Bridge sorprendió al mercado. Los intrusos lograron llevarse $190M en cripto utilizando una brecha que crearon, lo que les permitió retirar más de lo que depositaron. Este proceso se repitió asombrosas 1,175 veces antes de que los administradores de la red detectaran el esquema.

El retraso resultó en el robo de $190 millones en tokens de la red. Las investigaciones forenses revelaron que más de un hacker estuvo involucrado en el robo a medida que la noticia se difundía, y más grupos se unieron al saqueo. El equipo de Nomad hizo un llamado desesperado para que se devolvieran los fondos de sus usuarios.

Sorprendentemente, más de $30M fueron realmente devueltos, gracias a sus esfuerzos. El resto del financiamiento sigue desaparecido. Este hack demuestra que, en algunos casos, la comunicación puede resultar en la recuperación de millones de fondos.

5. Beanstalk Farms – $182M

Beanstalk Farms funcionó como un sistema DeFi respaldado por stablecoins algorítmicos. Los stablecoins algorítmicos utilizan protocolos y reservas de moneda digital, lo que los diferencia de la mayoría de los stablecoins. Cabe destacar que este tipo de stablecoin existe desde hace tiempo, pero ha demostrado ser extremadamente difícil de mantener.

En este hack, los atacantes se centraron en el sistema de gobernanza comunitaria. Explotaron una vulnerabilidad que les permitió aprobar propuestas. Tras tomar el control, aprobaron múltiples propuestas que acuñaron cientos de millones en el stablecoin. Los fondos fueron transferidos a dos direcciones.

Una fue la dirección supuesta del hacker, y la otra una dirección de donación ucraniana. Al final, el hacker retuvo alrededor de $70M del robo, y el resto se destinó a ayudar a los refugiados ucranianos. De esta manera, este hack sigue siendo un enigma, ya que los millones donados hicieron algo bueno.

6. Wintermute – $160M

Wintermute fue una popular plataforma de liquidez DeFi que tomó la desafortunada decisión de usar Vanity Wallet como su almacenamiento principal para los usuarios. Vanity Wallet tenía un vector de ataque que permitía a los hackers aprovechar ataques de recreación de direcciones para drenar $160 millones de la red.

Este hack es un ejemplo claro de por qué las redes DeFi deben utilizar sistemas de almacenamiento en frío en lugar de carteras calientes. El almacenamiento en frío es un método de guardar tu cripto fuera de línea o con lo que se llama una “brecha de aire”. Previene amenazas en línea y se ha convertido en el estándar de la industria tras las enormes pérdidas.

7. Compound – $150M

Compound fue, y sigue, uno de los mercados de liquidez DeFi de mejor rendimiento en el sector. La red sufrió una pérdida masiva de $150M después de una combinación de código defectuoso y hackers que buscaban crear caos. El error de codificación, ahora llamado “Leaky Tap”, fue un problema de contrato inteligente que permitía acuñar nuevos tokens sin causa.

Los hacks DeFi primero crearon un enorme pool de liquidez que contenía 280,000 tokens COMP de utilidad de la red. Una vez abierto el pool, comenzaron a desviar fondos. Dado que se trató de un error de codificación y no de un hack directo, los desarrolladores tuvieron que aprobar una propuesta de gobernanza comunitaria para corregir el error. El proceso tardó varios días en completarse.

Los retrasos provocaron la pérdida de fondos adicionales, ya que los usuarios vieron cómo la cuenta se vaciaba lentamente. Al menos los desarrolladores recuperaron más de la mitad de los fondos poco después del incidente, lo que ayudó a limitar considerablemente las pérdidas para los usuarios. Hoy, Compound sigue operando como un protocolo DeFi de alto rendimiento, aunque con protecciones de seguridad mejoradas contra este tipo de ataque.

8. Vulcan Forged $140M

El hack de Vulcan Forged representó una de las primeras veces que una red play-to-earn fue objetivo exitoso de pérdidas de cientos de millones. La plataforma ganó popularidad al ofrecer acceso a una gran cantidad de títulos P2E populares. Además, los usuarios podían tomar sus ganancias y mejorar sus ROI, aprovechando las numerosas opciones DeFi ofrecidas.

En diciembre de 2021, la situación se volvió mala para un gran grupo de usuarios de la red después de que los hackers accedieran al backend de la red y eliminaran 96 claves de cartera. El problema de codificación provocó que las carteras Venally de los jugadores fueran drenadas de $140M en tokens PYR. Debido a que se trató de un error de codificación, el proyecto devolvió rápidamente las pérdidas a todos los afectados.

9. BadgerDAO – $120M

El hack de BadgerDAO ocurrió en diciembre de 2021 y resultó en la pérdida de 2,100 BTC y 151 ETH. BadgerDAO operaba como un puente Bitcoin de alto rendimiento hacia el mundo DeFi. Todo salió mal cuando los hackers localizaron una vulnerabilidad en la interfaz de usuario de la plataforma.

Tras una cuidadosa revisión después de las pérdidas, se determinó que el hacker utilizó un enfoque de varios pasos, que comenzó hackeando primero a la empresa de seguridad Cloudflare. Este hack les dio acceso a la información necesaria para añadir permisos a las transacciones. Hoy, el sitio web enumera la descontinuación de todas las bóvedas restantes.

10. Horizon Bridge – $100M

El hack de Horizon Bridge ocurrió bastante recientemente en comparación con muchos otros de esta lista. En junio de 2022, $100M fueron robados de este puente cross-chain. El operador del puente, Harmony, se vio obligado a detener temporalmente las operaciones para frenar el ataque y evitar más pérdidas.

Una revisión cuidadosa mostró que la cartera multi‑firma de Harmony estaba configurada para requerir cuatro firmas. Sin embargo, solo necesitaba dos firmas para transferir fondos. Lamentablemente, estas preocupaciones no se habían planteado antes del ataque. Al final, los problemas resultaron ser un consejo sólido, ya que la red se encontró al otro lado de una pérdida de nueve cifras.

Growing Pains are Part of Life

No existe un universo en el que las nuevas tecnologías puedan innovar y expandirse sin que exista el riesgo de estafadores y hackers que exploten cualquier oportunidad que encuentren. Afortunadamente, el lado positivo de cada hack es que revela una nueva estrategia que luego puede prevenirse en otras plataformas. Dicho esto, los hackers malintencionados son, desafortunadamente, parte de la comunidad cripto, ya sea que a la gente le guste o no.