En otro ataque más a un importante protocolo de finanzas descentralizadas (DeFi), el proyecto de yield farming, Pickle Finance, fue vulnerado el día de hoy por una suma de USD 20 millones.
El ataque ocurrió hace aproximadamente cuatro horas, y los usuarios de Twitter conocedores de ETH se dieron cuenta rápidamente de que el "frasco" cDAI de Pickle, el término frasco es para referirse a las bóvedas con rendimiento, se había vaciado:
I think @picklefinance's cDAI jar just got attacked and drained. https://t.co/Lxwi2dWSSZ pic.twitter.com/nUBE1KjEPh
— mattyb (@mattybchats) November 21, 2020
Sin embargo, a diferencia de otros ataques recientes, esta vulneración en particular no incluía préstamos flash, una herramienta de DeFi cada vez más aprovechada que permite a los posibles explotadores conseguir liquidez adicional con la que manipular los precios on-chain. En cambio, este hacker intercambió fondos entre un contrato de imitación malicioso y el frasco cDAI.
En una entrevista con Cointelegraph, Emiliano Bonassi, que se describe a sí mismo como hacker de sombrero blanco y cofundador de DeFi Italia, explicó que el atacante creó "frascos malos", contratos inteligentes que "tienen la misma interfaz de los frascos tradicionales pero hacen cosas malas".
El atacante luego intercambió fondos entre su "frasco malo" y el frasco cDAI real, llevándose los USD 20 millones en depósitos.
Evil jars deployed during the attack and passed in the swapExactJarForJar, investigating more on thishttps://t.co/szRloiecV8https://t.co/l2xT4zhQB1
— Emiliano Bonassi | emiliano.eth (@emilianobonassi) November 21, 2020
The are sensible ops executed in that method (e.g. approve, withdraw etc). pic.twitter.com/29RNkF4vJb
Particularmente tras el ataque a Harvest Finance, Pickle Finance parecía estar encaminado a convertirse en uno de los protocolos más grandes del yield farming. Para el momento de la publicación de este artículo, el sitio web de estadísticas de Pickle informó casi USD 75 millones de valor total bloqueado quedan en los registros, mientras que el precio de PICKLE, el token de gobernanza de Pickle Finance, bajó un 50% y actualmente cotiza a USD 11.16.
Los problemas de Pickle Finance son solo los más recientes de una tendencia preocupante en el espacio DeFi. Las víctimas de las recientes vulneraciones en las últimas semanas incluyen a Harvest Finance, Value DeFi, Akropolis, Cheese Bank y Origin Dollar, entre otras.
Quizás, sin embargo, las vulnerabilidades de uno de los principales proyectos de DeFi podrían conducir al éxito de otro. Dijo un trader de Twitter:
Security audits are a meme.
— Cope_Infinitum (@CryptoMessiah) November 21, 2020
The new "audit" will be having proper insurance coverage.$Nsure $Cover
Sigue leyendo:
- Finance Redefined: Eres hackeado, ellos son hackeados, todos son hackeados, del 11 al 18 de noviembre
- Los contratos inteligentes necesitan estándares para hacer que las transacciones de DeFi en Ethereum sean más seguras
- El hacker del protocolo Value DeFi es bombardeado con historias tristes después de devolver 95,000 dólares en Dai
- El repunte parabólico 'es una posibilidad real' después de que el precio de Ethereum alcanzara los 547 dólares
- Harvest Finance ofrece una recompensa de $100,000 dólares para identificar a un presunto hacker
- Hackers detrás del robo de 1.400 BTC desde una billetera de Electrum tendrían una cuenta en Binance
- Una vulnerabilidad recientemente descubierta de la billetera Ledger podría ser desastrosa si no es solucionada por completo