Un exploit relacionado con contratos de préstamo no verificados en la blockchain Base provocó el robo de cerca de 1 millón de dólares.
El incidente, que se produjo a lo largo de varias horas, fue denunciado por la empresa de seguridad blockchain Cyvers Alerts en un post en X el 25 de octubre.
El atacante explotó una vulnerabilidad en los contratos inteligentes relacionados con Wrapped Ether (WETH), manipuló con éxito el precio y luego desvió los fondos.
Fuente: Cyvers Alerts
Un exploit de manipulación de precio
La transacción sospechosa inicial del atacante extrajo USD 993,534 de los contratos de préstamo no verificados de la blockchain Base.
Trasladaron la mayor parte de los fondos robados a la red Ethereum y luego depositaron USD 202,549 en el servicio Tornado Cash, centrado en la privacidad. Utilizando el mismo exploit, sustrajeron fondos adicionales por un total de USD 455,127.
En una entrevista por escrito con Cointelegraph, Hakan Unal, jefe senior de SOC en Cyvers Alerts, explicó la vulnerabilidad explotada en el ataque:
“El oráculo utilizado por estos contratos no era robusto, ya que sólo se basaba en un único par con una liquidez limitada de ~ USD 400,000, lo que lo hacía susceptible a oscilaciones de precios que podían ser manipuladas.”
Implicaciones para la seguridad y prevención
La explotación de contratos de préstamo no verificados revela riesgos mayores asociados con las plataformas financieras descentralizadas (DeFi) que no implementan medidas de seguridad sólidas.
Unal dijo que “un oráculo más confiable y diversificado con mayor liquidez para evitar la manipulación de precios” podría usarse para prevenir ataques similares en el futuro, particularmente “para activos como WETH.”
“Una mayor diligencia para la verificación de los contratos de préstamo, en particular sobre los oráculos utilizados, puede mitigar estos riesgos.”
¿Quién tiene la culpa?
Unal dijo a Cointelegraph que “el atacante logró escapar” con los fondos robados mediante la explotación de “la vulnerabilidad de manipulación de precios.”
“La responsabilidad probablemente recae en la entidad que gestiona los contratos de préstamo no verificados, así como en los responsables de elegir un oráculo insuficientemente seguro para la verificación de precios.”
El atacante aún no ha sido identificado y se ha fugado con éxito con los fondos robados.
Este incidente pone de manifiesto la necesidad de que las plataformas DeFi mejoren los protocolos de seguridad para proteger los fondos de los usuarios y garantizar la verificación de los contratos para evitar que se produzcan sucesos similares.
Aclaración: La información y/u opiniones emitidas en este artículo no representan necesariamente los puntos de vista o la línea editorial de Cointelegraph. La información aquí expuesta no debe ser tomada como consejo financiero o recomendación de inversión. Toda inversión y movimiento comercial implican riesgos y es responsabilidad de cada persona hacer su debida investigación antes de tomar una decisión de inversión
