La reentrada, los ataques al oráculo de precios y los exploits en siete protocolos provocaron que el espacio de las finanzas descentralizadas (DeFi) se desangrara en criptomonedas al menos USD 21 millones en febrero.
Según la plataforma de análisis de datos, DefiLlama, uno de los mayores del mes fue el ataque de reentrada de préstamos flash a Platypus Finance, que provocó la pérdida de fondos por valor de USD 8.5 millones.
DefiLlama destacó otros seis hackeos dignos de mención en el mes, el primero de los cuales fue el ataque al oráculo de precios de BonqDAO el 1 de febrero.
BonqDAO: USD 1.7 millones
BonqDAO reveló a sus seguidores en un post del 1 de febrero que su protocolo Bonq había sido expuesto a un ataque de oráculo que permitía al explotador manipular el precio del token AllianceBlock (ALBT).
El explotador aumentó el precio de ALBT y acuñó grandes cantidades de Bonq Euro (BEUR). A continuación, el BEUR se intercambió por otros tokens en Uniswap. Luego, el precio descendió hasta casi cero, lo que desencadenó la liquidación de ALBT.
La empresa de seguridad Blockchain PeckShield estimó las pérdidas en unos USD 120 millones; sin embargo, más tarde se reveló que los hackers supuestamente solo cobraron alrededor de un millón de dólares debido a la falta de liquidez en BonqDAO.
Orion Protocol: USD 3 millones
Apenas un día después, el 2 de febrero, el exchange descentralizado Orion Protocol sufrió una pérdida de unos USD 3 millones por un ataque de reentrada, en el que los atacantes utilizaron un contrato inteligente malicioso para drenar fondos de un objetivo con varias órdenes de retiro.
We have been investigating this very sophisticated attack from the minutes it occurred. We will not reopen the Deposit function until we feel confident that the bug has been fixed which will only be after successfully passing new audits from leading audit firms.
— Alexey Koloskov (@alexeykoloskov) February 2, 2023
El CEO de Orion Protocol, Alexey Koloskov, confirmó el ataque en su momento, asegurando que "todos los fondos de los usuarios están a salvo y seguros".
"Tenemos razones para creer que el problema no fue resultado de ninguna deficiencia en el código central de nuestro protocolo, sino que más bien podría haber sido causado por una vulnerabilidad al mezclar bibliotecas de terceros en uno de los contratos inteligentes utilizados por nuestros brókers experimentales y privados", dijo.
DForce Network: USD 3.65 millones
El protocolo DeFi de la red dForce fue otra de las víctimas en febrero de un ataque de reentrada que ocasionó pérdidas por valor de unos USD 3.65 millones.
En una entrada publicada el 10 de febrero, dForce confirmó el exploit; sin embargo, en un giro, todos los fondos fueron devueltos cuando el atacante se presentó como hacker ético.
2/5 Shortly after the incident, we entered into conversations with the exploiter, who came forward as a whitehat. We have agreed to offer a bounty and will drop all on-going investigation and law enforcement actions.
— dForce (@dForcenet) February 13, 2023
"El 13 de febrero de 2023, los fondos explotados fueron devueltos en su totalidad a nuestro billetera multifirma tanto en Arbitrum como en Optimism, un final perfecto para todos", dijo dForce.
Platypus Finance: USD 9.1 millones
El 16 de febrero, el protocolo DeFi, Platypus Finance, sufrió un ataque de préstamo flash que provocó el robo de USD 8.5 millones del protocolo.
Un informe post-mortem de Omniscia, auditora de Platypus, señalaba que el ataque fue posible gracias a un código en un orden incorrecto.
El 23 de febrero, el equipo anunció que pretendía devolver alrededor del 78% de los fondos del pool principal mediante la reemisión de stablecoins congeladas.
Updated compensation page
— Platypus (++) (@Platypusdefi) March 3, 2023
We have updated our compensation page today! If you have deposited or withdrawn LP tokens from our yield aggregators before the pool pause, your compensation amount will be updated accordingly.
More https://t.co/GfLIn5jmtF
El equipo también confirmó un segundo y tercer ataque, que supusieron el robo de otros USD 667,000, con lo que las pérdidas totales rondan los USD 9.1 millones.
El 25 de febrero, la policía francesa detuvo a dos sospechosos relacionados con el hackeo y se incautaron criptoactivos por valor de USD 222,000.
Hope Finance: USD 1.86 millones
Pocos días después, el 20 de febrero, los usuarios del proyecto de stablecoin algorítmica Hope Finance, basado en Arbitrum, fueron presa de un exploit de contrato inteligente, por el que se robaron unos USD 2 millones a los usuarios.
#CommunityAlert @hope_fin have announced the community has been scammed for ~$2m making this the largest #exitscam on Arbitrum in 2023.
— CertiK Alert (@CertiKAlert) February 21, 2023
$1.86m was transferred to @TornadoCash.
Hope_fin have posted steps for user's to withdraw their staked LPhttps://t.co/hJbFXiKujt
La empresa de seguridad web3 CertiK señaló el incidente el 21 de febrero, tras un anuncio de la cuenta de Twitter de Hope Finance en el que se notificaba a los usuarios la estafa.
Un miembro del equipo de CertiK dijo a Cointelegraph en ese momento que el estafador había cambiado los detalles del contrato inteligente, lo que llevó a que los fondos fueran drenados del protocolo Hope Finance genesis:
"Parece que el estafador cambió el contrato TradingHelper lo que significaba que cuando 0x4481 llama a OpenTrade en el GenesisRewardPool los fondos se transfieren al estafador".
Dexible: USD 2 millones
El agregador de exchanges multicadena Dexible se vio afectado por un exploit dirigido a la función selfSwap de la aplicación, y se perdieron criptomonedas por valor de USD 2 millones debido al ataque del 17 de febrero.
Según una publicación de la bolsa del 18 de febrero, "un hacker aprovechó una vulnerabilidad en nuestro contrato inteligente más reciente. Esto permitió al hacker robar fondos de cualquier billetera que tuviera una aprobación de gasto no gastada en el contrato".
Dear Dexible community, we regret to inform you that in the early hours of February 17th, a hacker exploited a vulnerability in our newest smart contract. This allowed the hacker to steal funds from any wallet that had an unspent spend approval on the contract.
— Dexible (@DexibleApp) February 17, 2023
1/5
Tras investigar, el equipo de Dexible descubrió que el atacante había utilizado la función selfSwap de la aplicación para mover criptomonedas por valor de más de USD 2 millones de usuarios que previamente habían autorizado a la aplicación a mover sus tokens.
Tras recibir los tokens en su propio contrato inteligente, el atacante retiró las monedas a través de Tornado Cash a billeteras desconocidas de BNB (BNB).
LaunchZone: USD 700,000
El protocolo DeFi LaunchZone, basado en la cadena BNB, sufrió un ataque por valor de USD 700,000 el 27 de febrero.
Según la empresa de seguridad blockchain Immunefi, un atacante aprovechó un contrato no verificado para robar los fondos.
"Se había hecho una aprobación al contrato no verificado hace 473 días por el desplegador de LaunchZone", dijo Immunefi.
Las cifras de febrero suponen un notable aumento con respecto a enero, según los datos de DefiLlama.
El rastreador sólo registra USD 740,000 en hackeos a plataformas DeFi en el mes a través de dos protocolos: Midas Capital y Roe Finance.
En su informe 2023 Crypto Crime Report, la firma de datos de blockchain Chainalysis reveló que los hackers robaron USD 3,100 millones de los protocolos DeFi en 2022, lo que representa más del 82% de la cantidad total robada en el año.
Aclaración: La información y/u opiniones emitidas en este artículo no representan necesariamente los puntos de vista o la línea editorial de Cointelegraph. La información aquí expuesta no debe ser tomada como consejo financiero o recomendación de inversión. Toda inversión y movimiento comercial implican riesgos y es responsabilidad de cada persona hacer su debida investigación antes de tomar una decisión de inversión.