El protocolo de préstamos basado en Avalanche Nereus Financebha sido víctima de un astuto hackeo en el que un usuario se hizo con USD 371,000 de USD Coin (USDC) mediante un contrato inteligente.

La empresa de ciberseguridad Blockchain CertiK fue una de las primeras en detectar el exploit el martes, indicando que el ataque afectó a grupos de liquidez en Nereus relacionados con el exchange descentralizado (DEX) Trader Joe y el creador de mercado automatizado Curve Finance.

CertiK también sugirió que los propios protocolos subyacentes se vieron afectados. Sin embargo, Curve Finance respondió a través de Twitter el miércoles, afirmando que "tal vez querías decir 'activos afectados', no 'protocolos afectados'. Solo @nereusfinance y sus activos parecen impactados".

El miércoles, Nereus Finance publicó un post-mortem detallado del incidente explicando que un "explotador" fue capaz de desplegar un contrato inteligente personalizado que utilizó un préstamo flash de USD 51 millones de Aave para manipular artificialmente el precio del pool de Avalanche (AVAX)/USDC Trader Joe LP (JLP) para un solo bloque.

Como resultado, el hacker anónimo fue capaz de acuñar USD 998,000 del token nativo de Nereus NXUSD contra USD 508,000 de garantía. A continuación, intercambió este capital en diferentes activos a través de varios fondos de liquidez y logró salir con una ganancia neta de USD 371,406 una vez devuelto el préstamo flash

El incidente terminó con la creación de USD 500,000 de "deuda mala" en el protocolo NXUSD.

El equipo de Nereus dice que se apresuró a remediar la situación. Tras consultar expertos en seguridad, desarrollar un plan de mitigación y notificar a las fuerzas del orden, liquidaron y pusieron en pausa el mercado JLP.

Según se ha informado, la deuda incobrable se pagó con NXUSD de la tesorería del equipo.

Según Nereus, el exploit fue el resultado de un "paso perdido" en el cálculo del precio, lo que dio lugar a la oportunidad de ser explotado. Sin embargo, subrayó que "ningún fondo de los usuarios está en riesgo, y NXUSD sigue estando sobre colateralizado", y el "protocolo de préstamo y endeudamiento no se vio afectado por este exploit".

Nereus también confía en que el mismo exploit no será posible una segunda vez, ya que el equipo modificará sus "prácticas de auditoría y seguridad con el fin de garantizar que este tipo de eventos no se produzcan en el futuro", señalando:

“Aunque este exploit es un mal incidente, no es raro que los protocolos se enfrenten a este tipo de pruebas de batalla.”

En el momento de escribir este artículo, el equipo de Nereus está tratando de identificar al hacker y rastrear los fondos y ha ofrecido una recompensa de sombrero blanco del 20% por la devolución de los fondos, sin hacer preguntas.

A pesar de este reciente exploit de préstamo flash y de otros incidentes notables a lo largo del año, el Informe Mensual de Alertas Skynet de CertiK de agosto de 2022, publicado el 2 de septiembre, afirma que ha habido una notable disminución de este tipo de ataques.

En comparación con el mes anterior, en agosto se ha producido un descenso del 95% en los ataques de préstamos flash, que solo han supuesto una pérdida total de USD 745,244, la segunda más baja de este año.

Febrero sigue siendo el mes con menos pérdidas registradas por ataques a préstamos flash, con solo USD 200,000.

Aclaración: La información y/u opiniones emitidas en este artículo no representan necesariamente los puntos de vista o la línea editorial de Cointelegraph. La información aquí expuesta no debe ser tomada como consejo financiero o recomendación de inversión. Toda inversión y movimiento comercial implican riesgos y es responsabilidad de cada persona hacer su debida investigación antes de tomar una decisión de inversión

Sigue leyendo: