El atacante tomó un préstamo flash de USD $51 millones en Nereus Finance, lo devolvió y se llevó una ganancia de USD $370.000.
***
- Nereus Finance, DeFi de Avalanche, sufre ataque flash loan.
- Hacker realizó maniobra de arbitraje para drenar USD $370.000.
- Robos mediante préstamos flash son recurrentes en DeFi.
Una plataforma de finanzas descentralizadas (DeFi) basada en Avalanche es la última víctima de un hackeo en el criptoespacio que resulta en la pérdida de varios miles de dólares en activos digitales.
El protocolo de préstamos descentralizado, Nereus Finance, sufrió el martes un ataque de arbitraje de flash loan que extrajo USD $370.000 en la moneda estable USDC. Según un reporte de Certik que fue recogido por The Block, el atacante habría lanzado un ataque de préstamos relámpago, en el que aprovechó una maniobra de arbitraje para drenar los fondos a la plataforma.
Los datos en cadena proporcionados por Snowtrace muestran que el actor malicioso tomó un préstamo flash de USD $51 millones y lo utilizó para manipular el precio de tokens en Nereus. La maniobra le otorgó una ganancia considerable, ya que después de devolver los poco más de 50 millones de dólares del préstamo, el atacante aún tenía en sus manos USDC 370.000.
Cabe señalar que los préstamos rápidos, relámpago o flash loans permiten a los comerciantes tomar préstamos no garantizados en plataformas DeFi. Los usuarios deben tomar el préstamo y reembolsarlo en una misma transacción, o el contrato inteligente la revierte, como si este nunca hubiera existido.
Otro ataque de préstamos flash
El equipo de Certik alertó en un tweet que, además de Nereus, el ataque había potencialmente afectado a las plataformas Trader Joe y Curve, con sede en Avalanche. Sin embargo, los datos en cadena parecen indicar que solo Nereus se vio impactada. La cuenta de Twitter del protocolo en cuestión confirmó el hackeo en una publicación de este miércoles.
Somos conscientes de un exploit de préstamo relámpago en el mercado AVAX/USDC Joe LP NXUSD. Este incidente está aislado en un único mercado de garantías y el protocolo NXUSD en su conjunto permanece sobrecolateralizado. Estamos ejecutando un proceso de recuperación y publicaremos una autopsia en breve.
We are aware of a flash loan exploit on the AVAX/USDC Joe LP NXUSD market. This incident is isolated to a single collateral market and the NXUSD protocol as a whole remains over colateralised. We are executing a recovery process and will be publish a post-mortem shortly.
— Nereus Finance (@nereusfinance) September 7, 2022
Después de realizar el ataque, el actor malicioso envió los fondos desde Avalanche a la cadena de bloques Ethereum, según reportó The Block. Mediante un servicio de puente entre cadenas, cambió los USDC en Avalanche por ETH 194 (USD $ 310.000) y DAI 15.800 (USD$ 15.800) en la red Ethereum. La mayoría de los fondos en ETH se transfirieron luego a cuatro direcciones.
Cerca de USD $310.000 en ETH se movieron este martes hacia Free Float, un intercambio de criptomonedas en Lightning Network, lo que probablemente indica el intento del atacante para cobrar las ganancias, como señala ese medio de noticias.
Los ataques de flash loans no son poco frecuentes y se han convertido en una de las principales amenazas de los proyectos DeFi en los últimos tiempos. En un anuncio de agosto, el FBI de EE. UU. advirtió que los préstamos rápidos y los exploits de manipulación de precios se encuentran entre algunos de los principales factores de riesgo para los usuarios de DeFi. Mientras, la empresa de análisis de Blockchain Chainalysis ya estimó que los robos en criptomonedas ascienden a USD $ 1,9 mil millones solo en lo que va de 2022.
Lecturas recomendadas
- Una stablecoin de Solana se desvinculó tras hackeo de USD $3,5 millones a protocolo Nirvana
- Ataque fallido: Hacker quería robar un protocolo puente, pero terminó perdiendo 5 ETH
- Estafadores robaron más de USD $42 millones a través de billeteras falsas en los últimos meses, advierte FBI
Artículo de Hannah Estefanía Pérez / DiarioBitcoin
Imagen de Unsplash
ADVERTENCIA: Este es un artículo de carácter informativo. DiarioBitcoin es un medio de comunicación, no promociona, respalda ni recomienda ninguna inversión en particular. Vale señalar que las inversiones en criptoactivos no están reguladas en algunos países. Pueden no ser apropiadas para inversores minoristas, pues se podría perder el monto total invertido. Consulte las leyes de su país antes de invertir.