Los defensores de las finanzas descentralizadas (DeFi) están sufriendo un duro golpe después de que el protocolo de préstamos descentralizado bZx fuera hackeado dos veces con solo unos días de diferencia con pérdidas por un total aproximado de USD 954,000.

Según el informe de bZx, el protocolo se vio comprometido por primera vez el 14 de febrero, cuando el equipo estaba en el evento de la industria ETHDenver. El segundo ataque, según el medio de noticias de la industria The Block, tuvo lugar el 18 de febrero.

El procedimiento del primer ataque

El atacante usó múltiples protocolos DeFi para prestar e intercambiar cantidades significativas de Ether y wrapped Bitcoin (WBTC) —un token en la cadena de bloques Ethereum que rastrea el precio de Bitcoin (BTC)— de una manera que le permitió manipular los precios y obtener ganancias de un trading apalancado descentralizado.

El atacante primero tomó prestados 10,000 Ether (ETH) del protocolo de préstamo descentralizado dYdX, luego usó 5,500 ETH (USD 1.46 millones) para garantizar un préstamo de 112 wrapped bitcoins (WBTC) (más de USD 1 millón) en el protocolo DeFi Compound.

En este punto, el atacante envió 1,300 ETH (más de USD 372,000) al comercio de margen descentralizado de ETH para abrir una posición apalancada en 5x para el par ETH/BTC en la plataforma de comercio Fulcrum de bZx y tomó prestados 5,637 ETH a través de Uniswap de Kyber y los cambió por 51 WBTC, causando gran deslizamiento.

Esto, a su vez, permitió que el atacante se beneficiara al cambiar los 112 WBTC del Compound a 6,671 ETH, lo que resultó en una ganancia de 1,193 ETH (casi USD 318,000). El hacker finalmente pagó el préstamo de 10,000 ETH en dYdX que tomó antes.

Según un análisis en profundidad del ataque, la transacción con la que el atacante abrió el comercio apalancado debería haberse evitado mediante controles de seguridad, pero esos controles no se activaron debido a un error en el contrato inteligente de bZx. El equipo detrás del protocolo ha anunciado que el error ha sido corregido.

El segundo ataque

La naturaleza del segundo ataque aún no está clara, pero un mensaje del CVO del proyecto y el líder de operaciones, Kyle Kistner, en el grupo oficial de bZx en Telegram, sugiere que fue un ataque de manipulación de oráculo. Los oráculos suelen ser componentes centralizados que proporcionan datos externos a las aplicaciones en cadena.

The Block estima que la pérdida será de 2,388 ETH (casi USD 636,000). Kistner dijo que el equipo puede neutralizar el hack y evitar la pérdida de fondos de los usuarios como lo hicieron para el primer hack. Además, prometió que los desarrolladores de bZx cambiarán a oráculos basados en el protocolo Chainlink, lo que parece sugerir que hará que el sistema sea más seguro.

Cointelegraph actualizará este artículo con más información una vez que esté disponible.

La prevalencia de las criptomonedas en los hacks

La no reversibilidad de las transacciones es una propiedad básica de la mayoría de las criptomonedas, o al menos, la mayoría de los proyectos se esfuerzan por ello. Si bien es deseable por muchas razones, esta característica también es apreciada por los ciberdelincuentes que consiguen conservar los fondos si logran robarlos, mientras que las transferencias electrónicas podrían revertirse.

Los grupos de hackers también dicen adelantarse a la curva actualizando sus métodos. La firma de ciberseguridad TrendMicro descubrió recientemente que el grupo de hackers Outlaw ha estado actualizando su kit de herramientas para robar datos de empresas durante casi medio año.

A principios de este mes, Cointelegraph informó que los hackers comprometieron a cinco firmas de abogados de Estados Unidos y exigieron dos rescates de Bitcoin de cada firma: uno para restaurar el acceso a los datos y otro para eliminar la copia del hacker en lugar de venderla.

Sigue leyendo: