DeFi Deep Dive: los mejores trucos de DeFi de 2020

No es ningún secreto que el campo de las finanzas descentralizadas (DeFi) se ha disparado en 2020. El año comenzó con DeFi, reclamando aproximadamente $ 700 millones en valor total bloqueado (TVL). Sin embargo, ese número se ha disparado rápidamente a $ 16 mil millones, según DeFi Pulse. Desafortunadamente, los nuevos inversores no fueron los únicos atraídos por los grandes números. Una buena parte de los piratas informáticos también ha subido a bordo para obtener ganancias.

Con la industria DeFi aún en su infancia y los fundadores con prisa por lanzarse, no es de extrañar que cometieran algunos errores. Sin embargo, algunos de los protocolos pirateados habían pasado por auditorías de seguridad de contratos inteligentes adecuadas y aún así fueron pirateados. Por desgracia, tales son los riesgos asociados con una industria incipiente.

Los protocolos DeFi se están endureciendo y volviéndose más resistentes, pero 2020 siguió siendo un año rentable para los piratas informáticos. Solo en la primera mitad del año, los hacks de DeFi acumularon más de $ 51 millones. Mientras tanto, con la mitad de diciembre pasado, ese número prácticamente se ha duplicado a más de $ 100 millones.

Veamos algunos de los hacks de DeFi más importantes del año, los protocolos involucrados y los exploits utilizados (hemos redondeado los números para simplificar). Si desea saber más sobre el campo DeFi y cómo asegurarse de minimizar el riesgo de sufrir un pirateo, debe consultar a Ivan en Tech Academy para informarse sobre las criptomonedas. Ivan on Tech Academy es una de las principales plataformas de educación en criptomonedas y ya se han inscrito más de 30.000 estudiantes.

DeFi Hacks – Cronología 2020

  • bZx – 18 de febrero ($ 1 millón)
  • dForce, 19 de abril ($ 25 millones)
  • Harvest Finance, 26 de octubre ($ 34 millones)
  • Cheese Bank, 6 de noviembre ($ 7 millones)
  • Akropolis, 12 de noviembre ($ 2 millones)
  • Value DeFi, 14 de noviembre ($ 7 millones)
  • Protocolo de origen, 17 de noviembre ($ 7 millones)
  • Pickle Finance, 21 de noviembre ($ 20 millones)
  • Warp Finance, 17 de diciembre ($ 8 millones)

Tres tipos de trucos de DeFi

Sin duda, hay más de tres formas de romper un contrato inteligente. Sin embargo, estos tres fueron prominentes en 2020.

Ataque de reentrada

Este ataque puede ocurrir si un contrato realiza una llamada externa a otro contrato que no es de confianza antes de resolverse. Por ejemplo, si transfiere fondos antes de establecer su saldo en cero, un atacante puede vencer la función de retiro a muerte y esencialmente agotar todo el contrato.

Sin embargo, no todas las llamadas pueden ser internas, por lo que los desarrolladores deben tener cuidado de garantizar que las llamadas externas sean seguras. De lo contrario, un atacante puede volver a entrar en el contrato y hacer cosas malas. Akropolis, dForce y Origin fueron golpeados con Reentrancy Attacks.

Precio de manipulación de Oracle

Este tipo de pirateo de DeFi se está volviendo más popular porque los contratos inteligentes necesitan obtener información de precios simbólicos. Es posible que haya oído hablar de Chainlink, pero los intercambios descentralizados (DEX) también son oráculos. Es fácil consultar el precio al contado de un token en un DEX como Uniswap. El problema es que los atacantes pueden manipular temporalmente estos precios para llevar a cabo sus hazañas.

bZx, Cheese Bank, Harvest y Valley fueron golpeados con hazañas de manipulación del oráculo de precios.

Errores lógicos

Este tipo de errores puede ser difícil de clasificar porque son exclusivos de los contratos en los que residen. Por ejemplo, fue un error lógico que abrió Pickle Finance a un exploit.

BZX Hack # 2, 18 de febrero de 2020

El pobre bZx tuvo un 2020 difícil al ser pirateado tres veces. Puede leer sobre ellos en nuestro artículo sobre el protocolo bZx. Aquí, solo examinaremos el truco n. ° 2.

Este truco llegó justo después del primero, lo que obligó a bZX a pausar su protocolo nuevamente. Como la primera vez, el atacante utilizó un préstamo con garantía insuficiente. Sin embargo, esta vez cambiaron el DEX y la garantía.

El atacante usó ETH para comprar casi todos los tokens sUSD disponibles en Kyber. Luego compró más sUSD de Synthetix y los depositó en bZx. Con todo este sUSD como garantía, el atacante podría pedir prestada la cantidad máxima de ETH.

Los pasos:

  • Pida prestados 7.500 ETH de bZx.
  • Cambie ETH por sUSD en Kyber para aumentar el precio de mercado sUSD / ETH.
  • El sUSD / ETH con picos permite al atacante pedir prestado más ETH.
  • Este préstamo ahora está sub-garantizado.

5: Devuelva el Flashloan a bZx.

Con el ETH prestado, el atacante podría reembolsar bZx su préstamo flash de 7500 ETH y aún así obtener ganancias de 2378 ETH.

dForce Hack – 19 de abril de 2020

dForce es una startup con sede en China con grandes sueños. Su objetivo es establecer una amplia gama de operaciones financieras y convertirse en una súper red DeFi. El equipo acababa de asegurar las inversiones de algunos grandes actores como CMBI, una de las subsidiarias bancarias más grandes de China, antes de ser recortado por $ 25 millones en el ataque de DeFi de abril.

Sucedió cuando LendF.me (su aplicación de préstamos) recibió un ataque de reentrada. Desde entonces, el hacker ha convertido los fondos robados en varios DEX.

Harvest Finance Hack, 26 de octubre de 2020

Los piratas informáticos de DeFi se calmaron un poco durante el verano, pero los piratas informáticos regresaron con una venganza en el otoño. Harvest Finance sufrió siete minutos de infierno cuando un atacante se apoderó de los activos dentro de yPool de Curve. Y en esos cortos minutos, Harvest obtuvo su propia cosecha por la friolera de $ 34 millones.

Este hacker una vez más se alimentó de los superpoderes de préstamos flash. Y armado con una comprensión del arbitraje, la pérdida temporal y el deslizamiento, derribó con éxito las bóvedas del USDC y el USDT.

Con el precio del USDC y el USDT en mínimos artificiales, el atacante podría comprarlos muy por debajo del valor de mercado. Al final, pagó el préstamo relámpago, tomó el exceso como ganancias y también recibió una recompensa de $ 100 mil por su cabeza, cortesía del equipo de Harvest.

Cheese Bank Hack, 6 de noviembre de 2020

Cheese Bank quiere que los inversores tengan la opción de gestionar sus activos a su manera. Sin embargo, tenían un enfoque defectuoso para medir la garantía con oráculos de precios, lo que les costó más de $ 3 millones en el primer truco de DeFi de noviembre.

Las ratas se sienten atraídas por el queso, y al menos una rata inteligente descubrió cómo manipular el precio de la garantía en Uniswap con un préstamo relámpago de dYdX. Como hemos visto, los ataques de préstamos relámpago generalmente involucran a un perpetrador instantáneamente pidiendo prestado, intercambiando, depositando y luego tomando prestado nuevamente para ajustar el precio de un token específico.

Los pasos:

  • El atacante toma un préstamo relámpago de dYdX por 21k ETH.
  • Cambia ETH por QUESO en Uniswap.
  • El atacante transfiere ambos tokens a Uniswap para obtener tokens LP.
  • El hacker acuña tokens sUSD con los tokens LP del paso 3.
  • Al cambiar ETH por QUESO, el hacker aumenta el precio del QUESO.

El paso n. ° 5 fue crucial para el éxito del truco porque aumentó el valor colateral del token LP en Cheese Bank. Al manipular el grupo CHEESE-ETH, el pirata informático podría drenar el DAI, USDC y USDT con llamadas legítimas de préstamo ().

Entonces, con una serie de llamadas de préstamo en Cheese Bank e intercambios en Uniswap, el hacker terminó el trabajo reembolsando el préstamo flash a dYdX y guardándose el resto.

Akropolis Hack, 12 de noviembre de 2020

Un error en el protocolo no impuso la protección de reentrada en el contrato inteligente SavingsModule de Acropolis. Desafortunadamente, este error resultó en una pérdida de 2 millones de DAI de los grupos YCurve y sUSD de Akropolis.

Cualquier usuario de Akropolis puede depositar tokens en los grupos de ahorro de Delphi para generar los tokens de grupo correspondientes. La lógica central de estos depósitos está en el módulo de ahorro. Pero el pirata informático descubrió una forma de acuñar tokens de grupo sin ningún activo real que los respalde. Cuando canjeó estas fichas acuñadas, ¡puf! 2 millones de DAI desaparecieron.

Una vez más, este truco comenzó con un préstamo flash dYdX, seguido rápidamente por una serie de 17 transacciones de explotación. Akropolis ha contratado una agencia de investigación forense para rastrear el flujo de dinero. Para obtener una versión más detallada de este exploit, consulte nuestro artículo sobre Akropolis.

Value DeFi Hack, 14 de noviembre de 2020

Un atacante golpeó la bóveda MultiStables de Value DeFi el mes pasado por aproximadamente $ 7 millones con un complejo ataque de préstamo flash.

Desafortunadamente, la bóveda estaba usando un código nuevo que los auditores no habían inspeccionado. Y una vez más, este ataque comenzó con un préstamo relámpago (solo que esta vez, fue de Aave). El atacante cambió el préstamo de Aave y Uniswap por DAI y USDT. También hizo cambios posteriores en el 3pool de Curve, lo que lo desequilibró.

Con el feed de precios manipulado, el atacante eliminó 33 millones de 3CRV. Un par de cambios más hábiles en Curve y el atacante terminó su día de trabajo quemando los 33 millones de 3CRV por 33 millones de DAI.

La intrusión total ascendió a una pérdida de $ 7 millones después de que pagó el préstamo urgente de Aave. Con $ 2 millones en DAI devueltos a Value DeFi, las ganancias aún superaron los $ 5 millones. Pero aún no había terminado. El hacker terminó su hazaña con una misiva al equipo de Value DeFi, “¿realmente conoces los préstamos flash?”

El equipo se ha comprometido a realizar auditorías intensas para futuras bóvedas mientras elabora un fondo de compensación para las víctimas.

Origin Dollar Hack – 17 de noviembre de 2020

Un error de contrato inteligente que no validó los activos transferidos ni aplicó la protección de reentrada en la lógica de la menta fue el culpable aquí. Debido a eso, el hacker podría inflar el suministro de tokens de OUSD y ayudarse a sí mismo con un valor de aproximadamente $ 8 millones de la bóveda de OUSD.

El contrato inteligente ya se había considerado a salvo de errores de reentrada a menos que el ataque se produjera a través de una de las monedas estables admitidas, que el pirata informático había descubierto. Entonces, él / ella podría hacer pasar una moneda estable falsa como legítima, lo que permitió el ataque de reentrada.

Los pasos:

  1. Pida prestado 70K ETH de dYdX en un préstamo flash.
  2. Cambie 70K ETH por USDT y DAI en Uniswap.
  3. Mueva 7.5 millones de USDT a la bóveda de Origin para acuñar 7.5 millones de OUSD.
  4. Invoque el método mintMultiple de Origin con DAI.
  5. Los contratos inteligentes no reconocieron el contrato malicioso y transfirieron 20,5 millones de DAI a su bóveda.
  6. Una llamada oculta desencadenó un rebase del suministro de OUSD duplicando el saldo del atacante.
  7. Cambie OUSD por USDT tanto en Uniswap como en SushiSwap.
  8. Retire DAI y USDT de la bóveda de OUSD.
  9. Cambie USDT por ETH en Uniswap.

El atacante pagó el préstamo relámpago de 70k ETH a dYdX. Canjeó el OUSD por una combinación de monedas estables y convirtió los tokens USDT y USDC a ETH en Uniswap. Esta mezcla, junto con el DAI, fue directamente a su billetera.

El premio del atacante por este truco de DeFi fue de aproximadamente $ 3 millones en ETH y $ 2 millones en DAI. Los fondos luego pasaron por un lavado de lavado de dinero a través de Tornado Cash, renBTC y wBTC.

Origin USD está monitoreando las direcciones en busca de movimiento y pidiendo a los intercambios que incluyan en la lista negra cualquier transacción de estas billeteras mientras elaboran un plan de compensación para las víctimas.

Este hacker ahora tiene una recompensa de $ 1 millón por su cabeza.

Pickle Finance Hack, 21 de noviembre

Los robots agrícolas de rendimiento doméstico PickleJars obtienen rendimiento para sus usuarios. Son una versión bifurcada de las bóvedas v1 de Yearn Finance, y el atacante logró este exploit gracias a su conocimiento del código de Yearn.

El ataque generó cerca de 20 millones de DAI usando un “Evil Jar”. Pero este fue un tipo diferente de pirateo porque el pirata informático aprovechó un error lógico en el contrato inteligente.

Ya hemos cubierto este exploit en profundidad en nuestro artículo de Pickle Finance. Basta decir que los investigadores están monitoreando la billetera del hacker para detectar cualquier movimiento del DAI robado y, afortunadamente, Pickle ha pasado a formar un equipo con Yearn Finance.

Warp Finance Hack, 17 de diciembre de 2020

Los hacks del año parecían estar llegando a su fin cuando otro logró eliminar $ 8 millones en DAI y USDC de WarpVaultSC. Un error en el oráculo de precios basado en AMM (Uniswap) fue una vez más el culpable, con cuatro préstamos flash diferentes de dYdX y Uniswap antes del ataque.

Los pasos:

  • Cuatro préstamos flash diferentes de DAI y WETH de dYdX y Uniswap.
  • Depósitos al par WETH-DAI en Uniswap para acuñar tokens LP.
  • Transfiere los tokens LP a WarpVaultLP como garantía.
  • Canjea 341k WETH por 48 millones de DAI a través de Uniswap.

Este movimiento duplicó con creces el precio del token LP, lo que permitió al atacante pedir prestados 4 millones de DAI y 4 millones de USDC de Warp. Luego, el atacante devolvió los préstamos flash.

Sin embargo, aunque todavía hay aproximadamente $ 8 millones en juego aquí, el atacante no tiene acceso inmediato porque WarpFinance tiene los tokens LP bloqueados debido a una posición de préstamo con garantía insuficiente.

Parece que esta historia de piratería tendrá que continuar.

Conclusión

Hay otras menciones honoríficas para los hacks DeFi 2020, como Balancer, Eminence y SushiSwap, pero las que se tratan en este artículo fueron destacadas. Después de todo, SushiSwap solo recibió un pellizco de $ 15k, y admiraron tanto el trabajo del hacker que lo descartaron como un servicio de recompensa por errores.

No obstante, incluso con el endurecimiento del ecosistema DeFi, su capacidad de composición se prestará a riesgos cada vez mayores. Los protocolos DeFi están tan interconectados como los bloques de Lego que una plataforma es tan segura como su eslabón más débil. Una vulnerabilidad en una dApp abre complicaciones para todos los demás protocolos que dependen de ella.

Para mantener a los nuevos usuarios interesados ​​y a los reguladores a raya, las auditorías de seguridad deben convertirse en un proceso continuo. Y lo que es más importante, los recursos para desarrolladores deben actualizarse rigurosamente para mantenerse al día con este ecosistema en constante evolución. Nada es gratis en este mundo. Por lo tanto, donde sea que haya potencial para un rendimiento excelente, siempre habrá piratas informáticos inteligentes acechando cerca para que trabaje para lograrlo.

¿Quieres aprender más sobre contratos inteligentes y convertirte en un desarrollador de blockchain de primer nivel? Si es así, visite Ivan en Tech Academy hoy mismo.

Autor: MindFrac

CriptoMundo

CriptoMundo.com es un medio digital independiente que difunde noticias y contenido sobre criptomonedas y tendencias emergentes de tecnologías financieras. Ofrece noticias, guías, artículos de opinión y gráficos en tiempo real.

Monedas

Bitcoin

Ethereum