Hacker robó USD $13 millones al protocolo Abracadabra/Spell aprovechando vulnerabilidad

El protocolo DeFi Abracadabra/Spell fue víctima de un hackeo que aprovechó una vulnerabilidad presente en el protocolo, con la cual se sustrajeron unos USD $13 millones en ETH.

***

• El ataque aprovechó una vulnerabilidad en contratos inteligentes relacionados con GMX V2.
• Aproximadamente ETH 6.262 fueron drenados, equivalentes a USD $13 millones.
• No es la primera vez que el protocolo Abracadabra enfrenta pérdidas millonarias.

Un reporte publicado por la firma de seguridad Peckshield, reseñado por varios medios, indica que el protocolo DeFi Abracadabra/Spell sufrió un ataque dirigido que resultó en el robo de aproximadamente ETH 6.262, equivalentes a unos USD $13 millones.

Según indican los reportes, la vulnerabilidad residía en los contratos inteligentes de los llamados “calderos” de Abracadabra, diseñados para préstamos descentralizados utilizando pools de liquidez del exchange GMX.

El ataque involucró una manipulación del proceso de liquidación dentro de la integración de los calderos de Abracadabra con los GM pools de la versión GMX V2. La explotación permitió al atacante vaciar parte significativa de los fondos sin poseer colateral alguno.

Cómo ocurrió el ataque

El investigador en criptomonedas Weilin (William) Li explicó en la plataforma X que el atacante se “liquidó a sí mismo” utilizando un flash loan. Este mecanismo es una estrategia típica en finanzas descentralizadas donde un usuario toma un préstamo no colateralizado y lo devuelve dentro del mismo bloque.

Según Li, el atacante llevó a cabo un proceso en siete pasos para pedir prestado y luego liquidar un préstamo de la stablecoin algorítmica Magic Internet Money (MIM) de Abracadabra. La ganancia se obtuvo a partir de los incentivos de liquidación, dado que el contrato exige que la cuenta externa del atacante (EOA) permanezca solvente al finalizar la operación.

Una falla en la ventana de ejecución

GMX V2 utiliza un proceso de dos pasos en el que las órdenes son creadas y luego ejecutadas por “keepers” para evitar front-running. Este lapso temporal parece haber sido el punto débil que permitió al atacante interferir. Sin embargo, los contratos centrales de GMX no fueron afectados.

“Para aclarar, los contratos de GMX no se vieron afectados”, dijo en X Jonas_ALA, desarrollador de GMX. “Esto se relaciona con los calderos de Spell basados en los GM pools de GMX V2. Los colaboradores están investigando la causa y me gustaría ofrecer una sincera disculpa a todos los afectados. Esto es muy lamentable”.

Repercusiones y antecedentes

Después del robo, los fondos fueron trasladados desde la red Arbitrum hacia el Blockchain de Ethereum, haciendo más difícil su rastreo y recuperación. Este no es el primer incidente relacionado con Abracadabra. En enero de 2024, la stablecoin MIM sufrió una manipulación que derivó en pérdidas por casi USD $6,5 millones.

La reiteración de estos ataques pone en evidencia la vulnerabilidad persistente en algunos protocolos DeFi. Además, subraya la importancia de realizar auditorías de seguridad continuas y de mejorar las ventanas operativas en procesos automatizados.

Una advertencia para la comunidad DeFi

La comunidad de finanzas descentralizadas ha reaccionado con preocupación. Expertos en seguridad señalan que este tipo de vulnerabilidades pueden seguir siendo explotadas si no se rediseñan los mecanismos de liquidación y los procesos de verificación en los protocolos.

Mientras tanto, desarrolladores y usuarios de Abracadabra deberán esperar los resultados de la investigación en curso para determinar si se reembolsará alguna parte de los fondos o si se implementarán medidas para evitar futuros ataques.

Imagen original de DiarioBitcoin, creada con inteligencia artificial, de uso libre, licenciada bajo Dominio Público.

Este artículo fue escrito por un redactor de contenido de IA y revisado por un editor humano para garantizar calidad y precisión.

Editado por Angel Di Matteo / DiarioBitcoin

ADVERTENCIA: DiarioBitcoin ofrece contenido informativo y educativo sobre diversos temas, incluyendo criptomonedas, IA, tecnología y regulaciones. No brindamos asesoramiento financiero. Las inversiones en criptoactivos son de alto riesgo y pueden no ser adecuadas para todos. Investigue, consulte a un experto y verifique la legislación aplicable antes de invertir. Podría perder todo su capital.