Por Hannah Pérez  

Los atacantes habrían vulnerado la interfaz de usuario del sitio web BadgerDAO para interceptar transacciones de usuarios y robar los fondos.

***

El protocolo de finanzas descentralizadas (DeFi) BadgerDAO ha sido víctima de un ataque de piratería masivo que ha provocado la pérdida de alrededor USD $120 millones en criptomonedas.

Los usuarios empezaron a informar de actividad sospechosa en el canal de Discord del protocolo el miércoles por la noche. Poco después, la cuenta oficial de Twitter de BadgerDAO confirmó el hackeo diciendo que había recibido informes de retiros no autorizados de fondos de usuarios.

Badger ha recibido informes de retiros no autorizados de fondos de usuarios. Mientras los ingenieros de Badger investigan esto, todos los contratos inteligentes se han detenido para evitar más retiros. Nuestra investigación está en curso y daremos a conocer más información lo antes posible.

BadgerDAO es una organización autónoma descentralizada (DAO) que trabaja para llevar Bitcoin a DeFi. El protocolo está enfocado en proporcionar rendimiento para Bitcoin.

La idea es que los usuarios lleven sus bitcoins a plataformas como Ethereum a través de Bitcoin envuelto (WBTC) para luego usarlo dentro de las aplicaciones DeFi. BadgerDAO proporciona una variedad de bóvedas donde los usuarios pueden almacenar sus WBTC y obtener rendimientos dependiendo de las estrategias de generación de rendimiento utilizadas por las bóvedas.

Usuarios de BadgerDAO registran pérdidas millonarias

Los informes actuales indican que el ataque se produjo al vulnerar la interfaz de usuario del sitio web BadgerDAO, que luego se usó para interceptar transacciones. Muchos usuarios reportaron haber recibido solicitudes inusuales de gasto al interactuar con las bóvedas de Badger. La información disponible sugiere que fue un ataque al front-end del protocolo y no a los contratos inteligentes.

Parece que un grupo de usuarios tenía aprobaciones establecidas para la dirección de explotación que permite que [la dirección] opere en sus fondos de bóveda y eso fue explotado”, escribió Tritium, colaborador principal de Badger, en Discord; y agregó:

Una vez que notamos que congelamos todas las bóvedas para que nada se pueda mover y estamos tratando de averiguar de dónde provienen las aprobaciones, cuántas personas las tienen y cuáles son los próximos pasos.

De acuerdo con The Block, uno de los administradores del protocolo reveló que una clave de API para Cloudflare estaba comprometida. Se espera que los canales oficiales del protocolo actualicen la información sobre el ataque en las próximas horas.

Mientras tanto, una investigación del equipo de seguridad PeckShield calculó que los atacantes robaron cerca de 120,3 millones de dólares a los usuarios del protocolo. Los piratas informáticos extrajeron la fortuna en una variedad de activos que incluyen WBTC y convex finance (CVX), indicaron los investigadores.

Algunos usuarios han reportado pérdidas de más de 100 millones de dólares en una sola operación. Un usuario dijo que tenía alrededor de 900 bitcoins (USD$ 50,8 millones) robados en una sola transacciónOtro perdió tokens por valor de USD$ 5 millones de una sola vez.

Uno de los mayores hackeos DeFi hasta la fecha

Aunque los contratos están en pausa, los miembros de la comunidad de BadgerDAO recomiendan que los depositantes utilicen herramientas como Debank y Unrekt para revocar los permisos del contrato malicioso

Para revocar los permisos de un contrato, visite etherscan.com e inicie sesión con una billetera que crea que puede estar expuesta. Cabe señalar que, aunque el ataque ocurrió recientemente, es posible que el permiso para el contrato se haya establecido hace semanas.

El precio del token nativo de BadgerDAO, BADGER, se ha visto afectado negativamente por el hackeo. De acuerdo con datos de CoinGecko, la moneda del protocolo ha caído 16% en las últimas 24 horas. Para el momento de edición, BADGER se cotiza a USD $22,4.

El ataque ahora representa uno de los mayores hackeos en la historia DeFi, compitiendo con un exploit al protocolo Cream Finance de octubre de este año que provocó pérdidas de más de USD $1 00 millones. Un ataque previo a Poly Network extrajo una cantidad aún superior de USD $ 600 millones, pero, en ese caso, los piratas informáticos terminaron por devolver los fondos al protocolo.


Lecturas recomendadas


Fuentes: CoinDesk, The Block, Twitter

Artículo de Hannah Estefanía Pérez / DiarioBitcoin

Imagen de Unsplash

ADVERTENCIA: Este es un artículo de carácter informativo. DiarioBitcoin es un medio de comunicación, no promociona, respalda ni recomienda ninguna inversión en particular. Vale señalar que las inversiones en criptoactivos no están reguladas en algunos países. Pueden no ser apropiadas para inversores minoristas, pues se podría perder el monto total invertido. Consulte las leyes de su país antes de invertir.