De la mano con las bondades e innovación que le caracteriza, el sector DeFi también ha sido blanco de ataques que han dejado perjudicados a gran cantidad de usuarios.
***
Tradicionalmente la idea de generar ingresos pasivos por concepto de inversiones era algo que desafiaba la lógica de muchos inversionistas, precisamente porque invertir conlleva realizar la respectiva investigación, estimar posibles escenarios y contemplar factores de riesgo, entre los cuales siempre está el factor humano y el carácter emotivo de los mercados asociados.
Sin embargo, con el amparo de Blockchain y los contratos inteligentes surgió la idea de las finanzas descentralizadas, sector mejor conocido como DeFi, en el cual era posible crear propuestas de negocio que derivasen ingresos pasivos y constantes, que si bien podían fluctuar por el rendimiento en los mercados, al menos estaban protegidos por la tecnología empleada y ofrecían mejores rendimientos que la banca tradicional.
Pero donde hay posibilidades de generar ganancias también hay riesgos asociados, y en el sector DeFi hacen vida proyectos que, a pesar de tener como piedra angular el uso de tecnología Blockchain y contratos inteligentes, también han visto pérdidas millonarias importantes a razón de errores y brechas de seguridad en el código empleado. Tales hechos refuerzan la idea de que la seguridad es uno de los aspectos más importantes, en los que nunca se debe escatimar si se desea que el proyecto siga siendo viable a mediano / largo plazo.
En base a lo antes expuesto, a continuación repasamos cinco casos en los que el sector de las finanzas descentralizadas registró pérdidas multimillonarias:
1. Cream Finance: Pérdidas por USD $130 millones
El primero de los casos es el del protocolo DeFi, Cream Finance, el cual fue víctima de una serie de hackeos y en el tercer ataque perdió alrededor de USD $130 millones en octubre del año pasado.
Los informes asociados al caso revelaron que el hackeo aprovechó una vulnerabilidad en el sistema de préstamos rápidos manejados por el protocolo, el cual permitía a los aspirantes a recibir capital de forma instantánea siempre que los pague dentro de la misma operación. Si bien este sistema se presta para movimientos de arbitraje, los hackers aprovecharon la brecha para obtener capital de forma reiterativa a través de diferentes direcciones de la red de Ethereum.
Esto derivó como resultado el robo de una gran cantidad de fondos cripto, y aunque fue sorpresivo lo que ocurrió con Cream Finance, lo cierto es que este tipo de exploits ya habían tenido lugar en su red en el pasado. En agosto de ese mismo año un hackers sustrajo alrededor de USD $425 millones a través de ese mismo mecanismo, y previamente la plataforma perdió unos USD $37,5 millones de la misma forma.
2. Vulcan Forged: Pérdidas por USD $140 millones
El proyecto DeFi basado sobre Polygon cuyo modelo de operaciones era el sistema Play-to-Earn (P2E), Vulcan Forged, fue víctima de un hacker que ingresó a los sistemas y sustrajo unos USD $140 millones pertenecientes a los usuarios.
En esta oportunidad, la información relacionada al caso indica que el hacker responsable tuvo acceso a la plataforma tras robar credenciales de uno de los miembros del equipo, con lo cual accedió a las billeteras Venly del protocolo y sustrajo las claves privadas de 96 monederos de los usuarios.
Posteriormente, el hacker utilizó los datos para obtener claves privadas en la función del monedero de la plataforma MyForge, con lo cual sustrajo 4,5 millones de tokens PYR, moneda nativa del juego en cuestión.
3. Compound: Pérdidas por USD $150 millones
Siendo una de las plataformas más reputadas de todo el sector DeFi, Compound no estuvo libre de las intenciones de malos actores y en octubre de 2021 fue víctima de un hackeo que aprovechó un error presente en el código del servicio.
El error en cuestión permitía a los aspirantes a préstamos recibir más del monto solicitado en fondos COMP, token nativo del protocolo. Esto hizo que dos bóvedas se viesen vulneradas y sufriesen de fugas al distribuir los tokens entre direcciones incorrectas, con lo cual se sustrajeron en primera instancia unos USD $80 millones en activos digitales. Mientras los desarrolladores y la comunidad trabajaban en una solución, los atacantes sustrajeron otros USD $68,8 millones hasta que el error fue finalmente corregido.
En este caso podría decirse que lo ocurrido tuvo un final “medianamente feliz”. El fundador de Compound, Robert Keshner, hizo un llamado a través de su cuenta de Twitter invitando a los responsables a devolver los fondos sustraídos a las bóvedas del protocolo, ofreciendo a cambio su gratitud y colaboración en caso de que los implicados llegasen a necesitar su apoyo. La campaña tuvo algo de tracción y con suerte se logró recuperar casi la mitad del capital robado.
4. Wormhole: Pérdidas por USD $326 millones
Si bien no es propiamente un protocolo DeFi, Wormhole es un servicio que permite a las personas transferir fondos entre redes mediante ciertos puentes. Si bien esta es una propiedad que claramente representa un gran beneficio para los usuarios, lo extraordinario de su propuesta no queda libre de ciertas vulnerabilidades que podrían ser aprovechadas.
Esto fue lo que pasó exactamente con Wormhole, el cual perdió más de USD $320 millones de tokens Wrapped Ethereum (WETH), moneda que sirve como colateral a Ethereum en redes que no sean nativas. Acá un hacker aprovechó el puente con Solana donde encontró un mecanismo que le permitía recibir WETH sin dejar ETH como garantía.
5. Poly Network: Pérdidas por USD $611 millones
Esta sin duda es una de las historias más interesantes que ha tenido lugar en el espacio de las finanzas descentralizadas, ya que contra todo pronóstico tuvo un final muy feliz.
Poly Network fue víctima de un ataque a mediados de agosto del año pasado. Es ese caso, un hacker aprovechó una vulnerabilidad que le permitió sustraer rápidamente el total de USD $611 millones en varias criptomonedas. En medio de la desesperación, el equipo de la plataforma intentó contactar con el hacker responsable y gracias a la comunidad lograron conversar.
Lo interesante del asunto es que, posteriormente, el hacker reveló que el acto en si tuvo como objetivo enseñar una lección al equipo de Poly Network, por lo que devolvió la totalidad de los fondos, y los directivos del protocolo le ofrecieron una recompensa por USD $500.000 y el puesto de asesor de seguridad.
Una auditoría realizada por SlowMist reveló que el trabajo realizado por el atacante probablemente fue planeado, organizado y preparado con mucha premura, por lo que este había identificado las vulnerabilidades y aprovechó pertinentemente las mismas para hacerse con los fondos. Acá la lección fue clara, y esto llegó a Poly Network a invertir más capital en su seguridad, e implementar las medidas necesarias para garantizar que estos u otros hechos similares no vuelvan a ocurrir.
Ronin los superó: pérdidas de +USD $600 millones
Un hackeo más reciente superó a todos los de esta lista. Ronin, la cadena lateral de Ethereum en la que se basa el popular juego Axie Infinity, sufrió un ataque hace dos semanas que extrajo más de USD $600 millones a la red. Si bien el exploit fue hace varios días, se reveló recién esta semana, como reseñamos en DiarioBitcoin. Hasta el momento, y a diferencia de varios de los hackeos que se reseñan en este artículo, el actor malicioso detrás de este evento no ha manifestado su intención de devolver los fondos robados.
Lecturas recomendadas
- Protocolo DeFi Cream Finance es hackeado por más de USD $100 millones
- Equipo de Poly Network informa que ya recuperó oficialmente la totalidad de los fondos robados
- Final feliz: hacker de Poly Network devuelve los USD$ 600 millones robados
Fuente: Decrypt
Versión de Angel Di Matteo / DiarioBitcoin
Imagen de Unsplash
ADVERTENCIA: Este es un artículo de carácter informativo. DiarioBitcoin es un medio de comunicación, no promociona, respalda ni recomienda ninguna inversión en particular. Vale señalar que las inversiones en criptoactivos no están reguladas en algunos países. Pueden no ser apropiadas para inversores minoristas, pues se podría perder el monto total invertido. Consulte las leyes de su país antes de invertir.