Por Hannah Pérez  

Fue un ataque de préstamos rápidos que manipuló los precios para luego drenar la liquidez de un grupo. QuickSwap ha optado por cerrar los préstamos.

***

  • QuickSwap es la última víctima de hackeo en DeFi
  • Perdió más de USD $200.000 en un ataque flash loan
  • Octubre es el mes con más criptoataques de la historia

Octubre aún no ha terminado y los ataques a cripto continúan.

QuickSwap, un protocolo de finanzas descentralizadas (DeFi) basado en Polygon, se convirtió el lunes en la víctima más reciente de un ataque de piratería en el criptoespacio.

El intercambio descentralizado (DEX) sufrió el lunes una explotación de USD $220.000, según confirmó el equipo de QuickSwap en un tweet. El ataque tuvo lugar en el mercado de préstamos Market XYZ, que fue la única plataforma comprometida, dijo la plataforma, que está cerrando su servicio de préstamos tras el incidente.

De acuerdo con CoinDesk, que citó datos en cadena, los atacantes manipularon los precios de los tokens tomando fondos prestados mediante un flash loan, o préstamo relámpago, y luego usaron los valores inflados como garantía para drenar toda la liquidez del grupo de QuickSwap afectado. El equipo vinculó el ataque con una vulnerabilidad en el oráculo de Curve

Cabe señalar que un préstamo flash es un tipo de préstamo no garantizado popular en DeFi. Los usuarios deben tomar el préstamo y reembolsarlo en una misma transacción o el contrato inteligente se revierte. Por su parte, los oráculos son servicios que obtienen datos de fuentes externas y brindan información a cualquier red de Blockchain.

QuickSwap cierra su servicio de préstamos

Si bien los informes iniciales habían vinculado el ataque a QiDAO, que emite la moneda estable miMatic, luego se confirmó que estaba relacionado con la plataforma Market XYZ, que usaba los oráculos defectuosos del protocolo DeFi, Curve. QiDao dijo que el hackeo no estaba relacionado con sus contratos inteligentes y la firma de seguridad PeckShield confirmó más tarde:

Es una cuestión de manipulación de precios. El mercado miMATIC utiliza CurvePoolOracle para la alimentación de los precios, que se manipula para tomar fondos del mercado.

Después del ataque, el pirata informático desconocido envió los fondos robados a Tornado Cash, el mezclador de criptomonedas que fue sancionado por el gobierno estadounidense. Desde ahí, el hacker ha intercambiado los tokens robados por otros. El servicio también le permite ofuscar el origen ilícito de los fondos.

Mientras tanto, QuickSwap ha decidido cerrar por completo su servicio de préstamos. “Estamos alentando a los usuarios con fondos depositados en los mercados abiertos de Market xyz en QuickSwap a retirarlos ahora, ya que estamos en proceso de cerrarlos“, escribió el DEX a sus usuarios el lunes.

El equipo también aseguró que los fondos de los usuarios no se vieron comprometidos con el hackeo y que los contratos inteligentes de QuickSwap no se vieron afectados.

La explotación se suma a una creciente lista de hackeos que han convertido a octubre en el peor mes de la historia para la seguridad del criptoespacio. Un informe reciente de Chainalysis reveló que este mes se han robado más de USD $700 millones a protocolos DeFi; entre ellos, destacan casos notables como las explotaciones a BNB Chain y Mango Markets.


Lecturas recomendadas


Artículo de Hannah Estefanía Pérez / DiarioBitcoin

Imagen de Unsplash editada en Canva

ADVERTENCIA: Este es un artículo de carácter informativo. DiarioBitcoin es un medio de comunicación, no promociona, respalda ni recomienda ninguna inversión en particular. Vale señalar que las inversiones en criptoactivos no están reguladas en algunos países. Pueden no ser apropiadas para inversores minoristas, pues se podría perder el monto total invertido. Consulte las leyes de su país antes de invertir.